Les pages utilisant HTTPS ont un en-tête de transport strict.

Règle n° 194 - Les pages utilisant HTTPS ont un en-tête de transport strict.

Selon Wikipédia, que nous nous refusons à paraphraser ici : « HTTP Strict Transport Security (HSTS) est un mécanisme de politique de sécurité proposé pour HTTP, permettant à un serveur web de déclarer à un agent utilisateur (comme un navigateur web), compatible, qu'il doit interagir avec lui en utilisant une connexion sécurisée (comme HTTPS) ». En résumé, cela signifie que votre serveur est configuré pour ne communiquer avec l’utilisateur que de manière chiffrée. Il s’agit donc d’un niveau de sécurité supplémentaire par rapport au fait d’utiliser HTTPS. Non seulement le serveur parle en HTTPS, mais il refuse de parler de toute autre façon.

Objectif

Améliorer la sécurité des échanges.
Prévenir les risques d’attaques.

Mise en œuvre

Utiliser pour chaque page l'entête HTTP Strict Transport Security et son paramètre max-age pour spécifier que le navigateur doit convertir toutes les requêtes en HTTP en requêtes HTTPS.

Contrôle

Vérifier que le serveur envoie pour chaque page l'entête HTTP Strict Transport Security avec le paramètre max-age spécifiant la durée pendant laquelle le navigateur doit convertir toutes les requêtes en HTTP en requêtes HTTPS

Auteur Opquast - Consulter la licence

Précédente Suivante

Découvrez la certification Opquast

Une formation et une certification 100% en ligne, reconnues officiellement
14 heures en ligne en autonomie, disponible 24h/24, 7j/7
guide de 200 pages, des quiz, un glossaire, des examens blancs, des articles des videos
Pour tous les professionnels du Web : marketing, commerciaux, UX, chefs de projet, designers, développeurs, ingénieurs informatiques.
Une approche multidisciplinaire : SEO, accessibilité, sécurité, écoconception… pour tous les professionnels, débutants comme confirmés.

Essayer
gratuitement