Qu’est-ce qu’un vérificateur d’en-têtes HTTP ?
Un vérificateur d’en-têtes HTTP est un outil qui envoie une requête à n’importe quelle URL et affiche les en-têtes de réponse HTTP retournés par le serveur. Il montre des métadonnées comme le type de contenu, les règles de cache, le logiciel serveur et les en-têtes de sécurité comme HSTS, CSP et X-Frame-Options.
Notre outil attribue également une note de sécurité de A à F avec des recommandations spécifiques pour améliorer la protection de votre site. Les en-têtes de sécurité constituent la première ligne de défense contre les attaques telles que XSS, le clickjacking et le MIME sniffing.
Comment vérifier les en-têtes HTTP
Pour analyser les en-têtes d’un site, saisissez l’URL complète (par exemple https://exemple.com) dans le champ de saisie et cliquez sur Vérifier. L’outil enverra une requête HTTP et affichera tous les en-têtes de réponse retournés par le serveur.
Les résultats incluent tous les en-têtes standard (Content-Type, Server, Cache-Control), les en-têtes de sécurité avec leur évaluation individuelle, une note globale de A à F et des recommandations concrètes pour améliorer la sécurité. Vous pouvez aussi utiliser curl -I en ligne de commande ou les DevTools du navigateur (F12, onglet Network).
En-têtes de sécurité expliqués
Découvrez les en-têtes de sécurité les plus importants que tout site web devrait implémenter :
Force les navigateurs à utiliser uniquement HTTPS. Empêche les attaques de SSL stripping et man-in-the-middle. Recommandé : max-age=31536000; includeSubDomains; preload.
Contrôle quelles ressources (scripts, styles, images) peuvent se charger sur la page. Empêche les attaques XSS en bloquant les scripts non autorisés.
Contrôle si le site peut être chargé dans des iframes. DENY ou SAMEORIGIN empêchent les attaques de clickjacking.
Empêche le MIME sniffing avec la valeur ‘nosniff’. Force les navigateurs à respecter le Content-Type déclaré par le serveur.
Contrôle quelles informations de référant sont envoyées dans les requêtes. ‘strict-origin-when-cross-origin’ est la valeur recommandée.
Restreint les API du navigateur comme la caméra, le microphone et la géolocalisation. Limite les fonctionnalités dont votre site n’a pas besoin.
Problèmes courants d’en-têtes HTTP
Les problèmes les plus fréquents liés aux en-têtes HTTP impliquent des en-têtes de sécurité manquants. L’absence de HSTS permet les attaques de SSL stripping, l’absence de CSP expose au XSS, et l’absence de X-Frame-Options rend le site vulnérable au clickjacking.
Un autre problème courant est un CSP trop restrictif qui bloque des scripts et ressources légitimes, cassant la fonctionnalité du site. Commencez toujours par CSP en mode report-only (Content-Security-Policy-Report-Only) pour identifier les violations avant d’appliquer la politique. Vérifiez aussi que le header Server ne divulgue pas la version exacte du logiciel, ce qui facilite les attaques ciblées.
Outils sécurité et réseau associés
Explorez nos autres outils gratuits pour la sécurité et l’analyse de sites web :
Vérifiez le certificat SSL, le protocole TLS et la chaîne de certificats de tout domaine.
Tracez les chaînes de redirection 301/302 de n’importe quelle URL.
Trouvez tous les liens internes et externes sur n’importe quelle page web.
Vérifiez les enregistrements DNS et la propagation mondiale du domaine.