/ audit · 03
Security
Analyse des en-têtes HTTP renvoyés par un site : sécurité, divulgation d'information, cache, technologies détectées.
Analyse
// Saisissez une URL pour récupérer ses en-têtes HTTP.
Vérifications
- HSTS — max-age, preload, sous-domaines
- CSP — Content Security Policy, détection unsafe-inline/eval
- X-Frame-Options — protection clickjacking
- X-Content-Type-Options — anti MIME sniffing
- Referrer-Policy — politique de Referer
- Permissions-Policy — restrictions API navigateur
- COOP / COEP / CORP — isolation cross-origin
- Set-Cookie — flags Secure, HttpOnly, SameSite
- disclosure — Server, X-Powered-By, X-AspNet-Version
- deprecated — X-XSS-Protection, HPKP, Expect-CT, Feature-Policy
- TLS — version, cipher, signature, expiration, chaîne
- HTTPS / HSTS preload — redirection HTTP→HTTPS, éligibilité HSTS preload
- CSP detail — directives, sources dangereuses, nonce/hash/strict-dynamic
- Mixed content — ressources HTTP sur page HTTPS
- SRI — integrity sur scripts/styles cross-origin
- iframes / target=_blank / forms — iframes sandbox, target=_blank, forms HTTPS
- Endpoints sensibles — /.env, /.git, /server-status, backups
- .well-known — security.txt, change-password
- CORS · OPTIONS — Origin tiers, méthodes autorisées
- Recommandations — priorisées par impact