Vérificateur d'en-têtes de sécurité HTTP

Collez les en-têtes de réponse bruts ou la sortie de curl -I pour examiner localement les en-têtes de sécurité courants, dont CSP, HSTS et COOP.

Mode coller uniquement. L'analyse des en-têtes s'exécute localement, donc les réponses de préproduction privée et de localhost restent sur votre appareil.

Collez les en-têtes de réponse bruts ou la sortie de curl -I. Si des redirections sont incluses, c'est le dernier bloc de réponse qui est noté.

Collez les en-têtes de réponse HTTP bruts ou la sortie de curl -I

Qu'est-ce qu'un vérificateur d'en-têtes de sécurité HTTP ?

Le vérificateur d'en-têtes de sécurité HTTP analyse les en-têtes de réponse par rapport aux meilleures pratiques de sécurité OWASP et les note sur une échelle de 0 à 100. Il évalue Content-Security-Policy (CSP), Strict-Transport-Security (HSTS), X-Content-Type-Options, X-Frame-Options, Referrer-Policy, Permissions-Policy et les en-têtes Cross-Origin incluant COOP, COEP et CORP. Contrairement aux scanners en ligne qui récupèrent une URL publique, cet outil fonctionne en mode collage — vous copiez les en-têtes bruts depuis la sortie de curl -I, les DevTools du navigateur ou les journaux de votre reverse proxy et les collez directement dans le vérificateur. Cette conception le rend idéal pour les serveurs de développement localhost, les environnements de staging derrière des VPN, les API internes et tout point de terminaison qui n'est pas publiquement accessible. Aucune URL n'est récupérée, aucun point de terminaison n'est exposé et aucune donnée d'en-tête ne quitte votre navigateur.

Comment utiliser le vérificateur d'en-têtes de sécurité HTTP

Exécutez curl -I sur votre URL cible ou copiez les en-têtes de réponse depuis l'onglet Réseau des DevTools de votre navigateur. Collez les en-têtes bruts dans le champ d'entrée — l'outil accepte la sortie curl complète y compris la ligne de statut. Cliquez sur « Analyser les en-têtes » pour générer le rapport de sécurité. Chaque en-tête est noté comme Réussi, Avertissement ou Échoué avec une explication. Si votre collage inclut plusieurs blocs de réponse (par ex. depuis une chaîne de redirection), le vérificateur note la réponse finale. Examinez les vérifications échouées, mettez à jour votre configuration serveur et testez à nouveau en collant les nouveaux en-têtes.

Pourquoi les en-têtes de sécurité HTTP comptent

Les en-têtes de sécurité sont la première ligne de défense contre les attaques XSS, clickjacking, MIME sniffing et injection de données. OWASP répertorie les en-têtes de sécurité manquants comme une mauvaise configuration courante dans les applications web. Un Content-Security-Policy manquant permet aux scripts injectés de s'exécuter librement. Sans HSTS, les utilisateurs peuvent être rétrogradés vers HTTP via des attaques man-in-the-middle. X-Frame-Options manquant permet le clickjacking. Les audits de sécurité, les tests de pénétration et les cadres de conformité (PCI DSS, SOC 2) vérifient tous la présence de ces en-têtes. Intégrer les vérifications d'en-têtes dans votre pipeline CI/CD — exporter les en-têtes d'un déploiement de test, les coller ici, vérifier le score — détecte les régressions avant qu'elles n'atteignent la production.

Questions fréquemment posées

Puis-je coller les en-têtes de localhost ou de préproduction ?

Oui. Cet outil est conçu pour le mode coller, ce qui vous permet d'examiner les en-têtes depuis localhost, un environnement de préproduction interne ou tout environnement privé sans exposer l'URL.

Pourquoi ne pas récupérer directement l'URL ?

Récupérer une URL échouerait pour de nombreux environnements privés et pourrait divulguer des points d'accès internes. Le mode coller garde le flux privé et fonctionne partout où curl ou les DevTools du navigateur peuvent copier les en-têtes.

Un score élevé garantit-il la sécurité ?

Non. Le vérificateur met en évidence les en-têtes de réponse courants et les erreurs de configuration fréquentes, mais il ne s'agit pas d'un audit de sécurité applicatif complet.

Ces collections regroupent les outils et guides qui reviennent souvent dans le même travail.

Flux de données pour le développement

Formatez, inspectez, convertissez et validez JSON, YAML, env, JWT, en-têtes et logs directement dans le navigateur.

Ouvrir la collection →

Parcourir les mêmes tags

Passez à d'autres outils qui partagent le même flux, format ou cas d'usage.

Données 7Sécurité 3

Outils utiles pour la suite selon ce que vous faites maintenant.

Formateur de journaux

Collez des logs JSON, nginx, Docker, syslog ou en texte brut pour les normaliser, les filtrer par niveau et les inspecter localement dans votre navigateur.

Données Formatage Texte

Décodeur JWT

Décodez les en-têtes et les charges utiles JWT localement dans votre navigateur. Inspectez les revendications, l'expiration, l'émetteur et les horodatages sans envoyer de jetons ailleurs.

Données Sécurité Texte

Formateur et validateur JSON

Formatez, validez et minifiez du JSON instantanément dans votre navigateur. Aucune requête réseau — vos données ne quittent jamais votre appareil.

Données Formatage Texte