Cet outil audite la conformité de sécurité des en-têtes de réponse HTTP en analysant les en-têtes bruts que vous collez — il ne fait jamais de requête réseau, donc il fonctionne pour les sites internes/derrière-auth/restrictés CORS, les artefacts CI ou les exemples de documentation.
En quoi il diffère du HTTP Headers Analyzer : cet outil récupère une URL en direct et ne vérifie que la présence de l'en-tête (booléen). Celui-ci fait des vérifications profondes au niveau valeur sur un ensemble plus complet.
Ce qu'il vérifie (12 en-têtes, niveau valeur) :
- Critique (manquant ou erroné = risque élevé) : HSTS (max-age ≥ 31536000, includeSubDomains, preload), Content-Security-Policy (sans unsafe-inline/unsafe-eval/joker, avec default-src ou script-src), X-Content-Type-Options (doit être nosniff).
- Avertissement (recommandé) : X-Frame-Options (DENY/SAMEORIGIN ; note que CSP frame-ancestors le remplace), Referrer-Policy (pas unsafe-url/no-referrer-when-downgrade), Permissions-Policy.
- Info (durcissement d'isolation bonus) : Cross-Origin-Opener-Policy, Cross-Origin-Embedder-Policy, Cross-Origin-Resource-Policy, X-Permitted-Cross-Domain-Policies, Clear-Site-Data, Cache-Control.
Format d'entrée : en-têtes de réponse HTTP bruts — un Nom : Valeur par ligne, comme produits par curl -I, l'onglet Network de DevTools ou des dumps HTTP. Les lignes de statut (HTTP/1.1 200 OK) et les lignes vides sont ignorées automatiquement.
Notation (déduction depuis 100) : −20 par critique, −8 par avertissement. Note de A+ à F. Chaque constatation montre la valeur actuelle, ce qui ne va pas et une valeur d'en-tête recommandée prête à copier.
Cet outil n'inspecte que les en-têtes de sécurité — pas les en-têtes de divulgation d'information (Server/X-Powered-By) ni les attributs de cookies. Utilisez-le pour durcir la posture d'en-têtes d'un site avant déploiement.