HTTP Security Header Builder

Générez rapidement les en-têtes HTTP de sécurité recommandés pour vos applications web.

Générateur de headers HTTP

Strict-Transport-Security (HSTS)

Force le navigateur à utiliser HTTPS exclusivement. À activer uniquement si votre site est 100 % accessible en HTTPS.

Content-Security-Policy (optionnel)

Définit les sources autorisées pour scripts, styles, images, etc. Laissez vide pour omettre ce header. Exemple : default-src 'self'; script-src 'self' 'nonce-xxx'

X-Frame-Options

Contrôle l'inclusion de la page dans des <iframe> — protection contre le clickjacking.

Referrer-Policy

Contrôle les informations d'origine envoyées dans l'en-tête Referer lors des navigations.

Permissions-Policy (optionnel)

Désactive ou restreint l'accès aux API navigateur sensibles (géolocalisation, caméra, micro…). Laissez vide pour omettre ce header. Exemple : geolocation=(), camera=(), microphone=()

Headers HTTP générés

Configurez les options ci-dessus et cliquez sur "Générer les headers".

Pourquoi utiliser des headers de sécurité

Les en-têtes HTTP de sécurité sont des directives envoyées par le serveur au navigateur pour lui imposer un comportement défensif. HSTS force le chiffrement TLS sur toute la durée configurée, empêchant les attaques de downgrade. X-Frame-Options bloque l'insertion de votre page dans une iframe tierce, neutralisant le clickjacking. Content-Security-Policy restreint les sources autorisées pour scripts, styles et médias, limitant l'impact d'une injection XSS. Referrer-Policy contrôle les informations d'origine transmises lors des navigations, réduisant les fuites de données. Permissions-Policy désactive les API navigateur non utilisées (caméra, micro, géolocalisation). Ces headers s'ajoutent à la configuration de votre serveur web ou de votre application en quelques lignes.

Pour une analyse approfondie et des stratégies de déploiement progressif, consultez notre guide complet sur les headers HTTP de sécurité.

Bonnes pratiques

Testez HSTS avec une valeur max-age courte (ex : 300) avant de passer à un an — une mauvaise configuration HSTS peut rendre votre site inaccessible.
N'activez pas HSTS preload à la légère : retirer un domaine de la liste prend plusieurs mois et nécessite une soumission manuelle.
Construisez votre CSP de façon itérative : commencez par Content-Security-Policy-Report-Only pour auditer sans bloquer, puis passez en mode strict.
Préférez DENY à SAMEORIGIN pour X-Frame-Options sauf si vous intégrez délibérément votre interface dans une iframe interne.
Utilisez strict-origin-when-cross-origin pour Referrer-Policy — c'est la valeur par défaut des navigateurs modernes et le meilleur équilibre vie privée / analytics.
Désactivez explicitement les APIs non utilisées via Permissions-Policy pour réduire la surface d'attaque (géolocalisation, caméra, microphone, USB…).
Vérifiez vos headers déployés avec des outils comme curl -I https://example.com ou securityheaders.com.
Appliquez ces headers sur toutes les réponses, y compris les pages d'erreur (40x, 50x) — elles sont aussi soumises aux attaques.

Utilisé dans : configuration Nginx, Apache, Caddy, reverse proxy, applications Node.js / Python / PHP, sécurisation d'infrastructure VPS, audit de conformité OWASP, hardening serveur web.