Picto thématique

Règle n° 194 - Les pages utilisant HTTPS ont un en-tête de transport strict.

Selon Wikipédia, que nous nous refusons à paraphraser ici : « HTTP Strict Transport Security (HSTS) est un mécanisme de politique de sécurité proposé pour HTTP, permettant à un serveur web de déclarer à un agent utilisateur (comme un navigateur web), compatible, qu'il doit interagir avec lui en utilisant une connexion sécurisée (comme HTTPS) ». En résumé, cela signifie que votre serveur est configuré pour ne communiquer avec l’utilisateur que de manière chiffrée. Il s’agit donc d’un niveau de sécurité supplémentaire par rapport au fait d’utiliser HTTPS. Non seulement le serveur parle en HTTPS, mais il refuse de parler de toute autre façon.

PrécédenteSuivante
#Basics #Développement #Sécurité

Objectif

  • Améliorer la sécurité des échanges.
  • Prévenir les risques d’attaques.

Mise en œuvre

Utiliser pour chaque page l'entête HTTP Strict Transport Security et son paramètre max-age pour spécifier que le navigateur doit convertir toutes les requêtes en HTTP en requêtes HTTPS.

Contrôle

Vérifier que le serveur envoie pour chaque page l'entête HTTP Strict Transport Security avec le paramètre max-age spécifiant la durée pendant laquelle le navigateur doit convertir toutes les requêtes en HTTP en requêtes HTTPS

Auteur Opquast - Consulter la licence

PrécédenteSuivante

Découvrez la certification Opquast

  • Une formation et une certification 100% en ligne
  • 14 heures en ligne en autonomie, disponible 24h/24, 7j/7
  • guide de 200 pages, des quiz, un glossaire, des examens blancs, des articles des videos
  • Pour tous les professionnels du Web : marketing, commerciaux, UX, chefs de projet, designers, développeurs, ingénieurs informatiques.
  • Une approche multidisciplinaire : SEO, accessibilité, sécurité, écoconception… pour tous les professionnels, débutants comme confirmés.

Module de sensibilisation
Inscription gratuite