Skip to main content
Toolzer — Free Online Tools

Scan de Headers de Sécurité

Vérifie si un site web envoie les headers de sécurité HTTP qui protègent les utilisateurs contre les attaques XSS, le détournement de clics (clickjacking) et les attaques de rétrogradation de protocole.

À propos de l'outil

Les headers de sécurité HTTP sont la défense la moins chère et la plus efficace qu'un site web puisse avoir : un seul header de réponse peut bloquer le détournement de clics, forcer le HTTPS pendant un an, ou neutraliser toute une catégorie d'attaques XSS. Ce scanner récupère n'importe quelle URL, lit les headers renvoyés par votre serveur, et évalue le résultat de A à F par rapport aux standards modernes — HSTS, CSP, X-Frame-Options, COOP, COEP, CORP, Referrer-Policy et Permissions-Policy.

Questions fréquentes

Quelle est la note que je devrais viser ?

Tout site en production devrait viser au moins un B. Viser un A nécessite une réelle Content-Security-Policy, ce qui demande un travail d'ingénierie délibéré — mais c'est la mesure d'atténuation XSS la plus efficace disponible.

Est-ce que le déploiement de CSP est difficile ?

Oui, sur les sites anciens. Commencez en mode Content-Security-Policy-Report-Only, surveillez les violations, puis passez en mode d'application une fois que vos scripts en ligne et vos tiers sont inventoriés.

Pourquoi X-XSS-Protection ne figure-t-il pas dans la liste ?

Il est déprécié et a été retiré des navigateurs modernes. CSP le remplace. Gardez vos headers concis, pas trop longs.

Le scanner suit-il les redirections ?

Oui. Nous évaluons la réponse finale, donc un domaine qui redirige HTTP → HTTPS est noté sur la réponse HTTPS, ce qui est pertinent pour les utilisateurs.