Vérificateur d'en-têtes de sécurité HTTP
Collez les en-têtes de réponse bruts ou la sortie de curl -I pour examiner localement les en-têtes de sécurité courants, dont CSP, HSTS et COOP.
Collez les en-têtes de réponse bruts ou la sortie de curl -I. Si des redirections sont incluses, c'est le dernier bloc de réponse qui est noté.
0 octets
Collez les en-têtes de réponse HTTP bruts ou la sortie de curl -I
Vous venez de tester Vérificateur d'en-têtes de sécurité HTTP — Essayez Formateur de journaux ensuite →
Qu'est-ce qu'un vérificateur d'en-têtes de sécurité HTTP ?
Les en-têtes de sécurité HTTP indiquent au navigateur comment gérer les requêtes cross-origin, l'exécution de scripts, le contenu mixte et les contextes intégrés — ce sont le renforcement le moins cher que vous puissiez déployer car le seul coût est une modification de configuration. Le vérificateur note selon les recommandations du OWASP Secure Headers Project et la rubrique du Mozilla Observatory. En-têtes clés qu'il évalue : Content-Security-Policy (liste blanche des origines de script/style/img autorisées ; la baseline default-src 'self' bloque la plupart des XSS), Strict-Transport-Security (HSTS — force HTTPS pendant max-age secondes ; les valeurs >=31536000 avec includeSubDomains; preload sont éligibles pour la liste de préchargement HSTS sur hstspreload.org intégrée dans Chrome / Firefox / Safari), X-Content-Type-Options: nosniff (empêche les navigateurs de deviner que .txt est du HTML), X-Frame-Options: DENY / CSP frame-ancestors (anti-clickjacking — frame-ancestors est l'équivalent CSP moderne et surpasse X-Frame-Options), Referrer-Policy (contrôle quelle Origin/chemin fuit vers les tiers), Permissions-Policy (anciennement Feature-Policy — refuser la caméra, le microphone, la géolocalisation), et le trio Cross-Origin Isolation COOP / COEP / CORP qui contrôle SharedArrayBuffer et les minuteurs haute résolution. Contrairement aux scanners basés sur URL (securityheaders.com, Mozilla Observatory), cet outil accepte les en-têtes collés depuis curl -I ou DevTools, donc les endpoints internes derrière VPN ou localhost obtiennent toujours une note sans être exposés.
Comment utiliser le vérificateur d'en-têtes de sécurité HTTP
Exécutez curl -sI https://your.endpoint/ ou copiez depuis DevTools → Réseau → En-têtes → Réponse. Collez le bloc complet incluant la ligne de statut (HTTP/2 200). Le vérificateur tolère les redirections (301/302/307/308) et note la réponse finale. Chaque en-tête est évalué par rapport à la valeur recommandée par OWASP : Réussi (correspond à la recommandation), Avertissement (présent mais faible — par ex., HSTS max-age=300 est trop court pour être efficace), Échoué (absent ou activement non sécurisé — par ex., Access-Control-Allow-Origin: * avec des endpoints nécessitant des credentials). Le rapport lie chaque résultat aux documents MDN pertinents et à la feuille de triche OWASP. Un piège courant : définir à la fois X-Frame-Options: DENY et Content-Security-Policy: frame-ancestors 'none' est redondant mais pas faux — frame-ancestors l'emporte sur les navigateurs modernes, X-Frame-Options reste pour l'héritage. CSP 'unsafe-inline' dans script-src contredit la politique de protection XSS ; signalé comme Échoué même si le reste de CSP est solide.
Pourquoi les en-têtes de sécurité HTTP comptent
Les en-têtes de sécurité manquants sont la découverte la plus courante dans les tests de pénétration car ils sont invisibles : un site peut servir le HTML correct et échouer quand même un audit car les en-têtes de réponse sont faux. PCI DSS 4.0 (mars 2025), les critères des services de confiance SOC 2 et la norme ISO 27001:2022 Annex A 8.26 signalent tous CSP / HSTS / X-Frame-Options manquants comme des lacunes de contrôle. Le coût de la réparation est une ligne dans votre proxy inverse (add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always; dans nginx, un bloc dans les en-têtes vercel.json, trois lignes dans Cloudflare Workers) — mais non découvert jusqu'à ce qu'un auditeur ou un billet de sécurité d'un concurrent ne le révèle. La vérification des en-têtes intégrée à CI détecte les régressions : un déploiement qui bascule votre CSP de default-src 'self' à default-src * parce que quelqu'un déboguant a copié-collé la mauvaise règle. Exécuter les en-têtes via ce vérificateur avant de fusionner la PR de déploiement détecte le différentiel.
Questions fréquemment posées
Puis-je coller les en-têtes de localhost ou de préproduction ?
Oui. Cet outil est conçu pour le mode coller, ce qui vous permet d'examiner les en-têtes depuis localhost, un environnement de préproduction interne ou tout environnement privé sans exposer l'URL.
Pourquoi ne pas récupérer directement l'URL ?
Récupérer une URL échouerait pour de nombreux environnements privés et pourrait divulguer des points d'accès internes. Le mode coller garde le flux privé et fonctionne partout où curl ou les DevTools du navigateur peuvent copier les en-têtes.
Un score élevé garantit-il la sécurité ?
Non. Le vérificateur met en évidence les en-têtes de réponse courants et les erreurs de configuration fréquentes, mais il ne s'agit pas d'un audit de sécurité applicatif complet.
Utiliser cet outil dans un flux plus large
Ces collections regroupent les outils et guides qui reviennent souvent dans le même travail.
Parcourir les mêmes tags
Passez à d'autres outils qui partagent le même flux, format ou cas d'usage.