Passer au contenu principal

Analyseur de headers de sécurité

Analysez les headers de sécurité HTTP d'un site : CSP, HSTS, X-Frame-Options et 9 autres. Note A+→F avec recommandations OWASP.

Exemples : toolsmartly.com github.com mozilla.org cloudflare.com
Le scan utilise un proxy CORS public pour contourner les restrictions navigateur. Seuls les headers HTTP publics sont lus — aucun contenu de la page n'est envoyé.
Charger un exemple : ✅ Config sécurisée ❌ Config non sécurisée ⚠️ Config partielle
↵ Enter pour analyser
Entrez une URL ou collez vos headers pour obtenir l'analyse de sécurité.

Historique des scans

Aucun scan effectué.

Pourquoi les headers de sécurité HTTP sont-ils importants ?

Les headers de sécurité HTTP sont des directives envoyées par le serveur web dans la réponse HTTP, qui instruisent le navigateur sur la façon de gérer le contenu de la page. Un header mal configuré ou absent laisse la porte ouverte aux attaques XSS, clickjacking, injection de contenu, MITM et vol de session. Leur configuration correcte est l'une des premières recommandations du guide OWASP.

Les headers les plus critiques

La Content-Security-Policy (CSP) est le header le plus puissant : elle définit les sources autorisées pour les scripts, styles, images et iframes, bloquant efficacement les attaques XSS. La Strict-Transport-Security (HSTS) force les connexions HTTPS pendant une durée définie, protégeant contre les attaques MITM sur les connexions HTTP.

Note de sécurité A+ → F

Notre analyseur attribue un score sur 100 basé sur la présence et la qualité de configuration de 12 headers. Les headers critiques (CSP, HSTS) comptent plus que les headers secondaires. Une note A+ signifie que tous les headers requis sont présents et correctement configurés selon les recommandations OWASP et Mozilla Observatory.

Questions fréquentes

La Content-Security-Policy est le header de sécurité le plus puissant. Il définit une liste blanche des sources autorisées pour chaque type de ressource (script... La Content-Security-Policy est le header de sécurité le plus puissant. Il définit une liste blanche des sources autorisées pour chaque type de ressource (scripts, styles, images, iframes, polices, connexions réseau). Une CSP bien configurée bloque efficacement les attaques XSS (Cross-Site Scripting) en empêchant l'exécution de scripts non autorisés. La directive default-src 'self' interdit par exemple le chargement de ressources depuis des domaines tiers, sauf exceptions explicites.

Strict-Transport-Security (HSTS) indique au navigateur de toujours utiliser HTTPS pour se connecter au site, pendant une durée définie par max-age. Sans HSTS, u... Strict-Transport-Security (HSTS) indique au navigateur de toujours utiliser HTTPS pour se connecter au site, pendant une durée définie par max-age. Sans HSTS, un utilisateur visitant http://example.com peut être redirigé vers HTTPS, mais ce premier accès HTTP est vulnérable à une attaque MITM (Man-in-the-Middle) qui intercepte la redirection. Avec HSTS, le navigateur refuse d'établir toute connexion HTTP dès le premier accès. L'option includeSubDomains étend cette protection à tous les sous-domaines.

X-Frame-Options est l'ancienne méthode pour protéger contre le clickjacking : elle accepte DENY (interdit tout iframe), SAMEORIGIN (autorise seulement le même d... X-Frame-Options est l'ancienne méthode pour protéger contre le clickjacking : elle accepte DENY (interdit tout iframe), SAMEORIGIN (autorise seulement le même domaine) ou ALLOW-FROM (obsolète). CSP frame-ancestors est la méthode moderne et plus flexible : elle supporte plusieurs origines (frame-ancestors 'self' https://partenaire.com) et est supportée par tous les navigateurs récents. Il est recommandé d'utiliser les deux pour une compatibilité maximale avec les anciens navigateurs.

Utilisez le mode Saisie manuelle : ouvrez les outils développeur de votre navigateur (F12 → Réseau), rechargez la page, cliquez sur la requête principale et cop... Utilisez le mode Saisie manuelle : ouvrez les outils développeur de votre navigateur (F12 → Réseau), rechargez la page, cliquez sur la requête principale et copiez les headers de réponse. Collez-les dans le champ de saisie manuelle. Vous pouvez aussi utiliser curl en ligne de commande : curl -I https://example.com affiche les headers HTTP de réponse.

Une note A+ (score ≥ 95/100) signifie que tous les headers de sécurité critiques sont présents et correctement configurés : CSP sans unsafe-eval/unsafe-inline d... Une note A+ (score ≥ 95/100) signifie que tous les headers de sécurité critiques sont présents et correctement configurés : CSP sans unsafe-eval/unsafe-inline dans script-src, HSTS avec max-age ≥ 1 an et includeSubDomains, X-Frame-Options à DENY, X-Content-Type-Options à nosniff, et les headers modernes COEP/COOP/CORP pour l'isolation cross-origin. C'est le niveau atteint par des sites comme cloudflare.com ou mozilla.org.

Outils de la même catégorie

Générateur de mots de passe Vérificateur d'adresse IP Vérificateur de lien phishing Chiffrement de texte Générateur UUID Vérificateur de mot de passe

Outils populaires

Générateur Alt Text IA OCR Extracteur de Texte Générateur Hashtags Intelligent Vérificateur d'adresse IP Convertisseur de Devises 2026

Outils tendance

Convertisseur de tension Visualiser code HTML en ligne Calculateur Impôts 2026 Calculateur Amazon FBA
Lien copié !