Analyse gratuite des en-têtes de sécurité – sans inscription

Vérificateur d’en-têtes HTTP

Évaluez les en-têtes de réponse HTTP de n’importe quelle URL. Nous analysons HSTS, Content-Security-Policy, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, l’isolation cross-origin (COOP/COEP/CORP) et les attributs des cookies, puis nous vous expliquons comment corriger ce qui manque.

https://

Ce que fait ce vérificateur d’en-têtes HTTP

Saisissez n’importe quelle URL publique : nous la récupérons côté serveur et lisons les en-têtes de réponse HTTP bruts — les instructions invisibles qu’un serveur envoie avec chaque page. Nous analysons celles qui concernent la sécurité, évaluons chacune selon les bonnes pratiques actuelles et renvoyons une note de A à F accompagnée d’une brève explication et d’une recommandation concrète pour chaque constat.

Contrairement à une simple vérification du type « L’en-tête est-il présent ? », cet outil lit à l’intérieur de chaque en-tête : il analyse vos directives CSP, la valeur max-age de HSTS, les attributs de vos cookies et votre Permissions-Policy, et détecte les contradictions, comme un X-Frame-Options obsolète à côté d’un frame-ancestors moderne.

Ce qui est vérifié

  • Transport : HTTPS et robustesse de Strict-Transport-Security (HSTS).
  • Sécurité du contenu : qualité de la Content-Security-Policy, protection contre le clickjacking (frame-ancestors / X-Frame-Options) et X-Content-Type-Options.
  • Isolation cross-origin : COOP, COEP et CORP.
  • Confidentialité et règles : Referrer-Policy et Permissions-Policy.
  • Cookies : les attributs Secure, HttpOnly et SameSite sur chaque Set-Cookie.
  • Divulgation d’informations : exposition des versions dans Server et X-Powered-By.

Comment fonctionne la note

Chaque en-tête est pondéré selon son importance et contribue pour une valeur partielle de 0 à 1 (réussi / partiel / échoué). La note finale est la moyenne pondérée de toutes les vérifications applicables, arrondie puis convertie en lettre : A à partir de 90, B à partir de 80, C à partir de 70, D à partir de 60 et F en dessous de 60. Les vérifications de cohérence (comme un X-Frame-Options redondant) sont affichées à titre indicatif, mais n’influent pas sur la note.

Questions fréquentes

Cet outil modifie-t-il quelque chose sur mon site ?

Non. Nous envoyons une seule requête en lecture seule et analysons les en-têtes de réponse. Rien n’est modifié, et nous n’effectuons jamais de tests actifs tels que des requêtes cross-origin falsifiées.

Pourquoi ma CSP n’a-t-elle reçu qu’un avertissement ?

Une Content-Security-Policy est évaluée sur sa qualité, et pas seulement sur sa présence. Des sources comme 'unsafe-inline' ou 'unsafe-eval' dans script-src, ou un joker *, affaiblissent la règle et n’obtiennent qu’une note partielle. Utilisez des nonces ou des hachages pour les scripts en ligne afin d’atteindre la note maximale.

Vérifiez-vous la configuration TLS ou des certificats ?

Pas ici : cet outil se concentre sur les en-têtes de réponse. Les suites de chiffrement et les chaînes de certificats relèvent d’un autre domaine ; utilisez un analyseur TLS dédié pour cela.

Le rapport est-il mis en cache ?

Oui, pendant une heure par URL — moins longtemps que pour nos autres outils, car les en-têtes de sécurité changent souvent pendant les corrections. Les résultats issus du cache sont signalés dans le rapport.