Tous les outils
/ audit · 03

Security

Analyse des en-têtes HTTP renvoyés par un site : sécurité, divulgation d'information, cache, technologies détectées.

Analyse

// Saisissez une URL pour récupérer ses en-têtes HTTP.

Vérifications

  • HSTS — max-age, preload, sous-domaines
  • CSP — Content Security Policy, détection unsafe-inline/eval
  • X-Frame-Options — protection clickjacking
  • X-Content-Type-Options — anti MIME sniffing
  • Referrer-Policy — politique de Referer
  • Permissions-Policy — restrictions API navigateur
  • COOP / COEP / CORP — isolation cross-origin
  • Set-Cookie — flags Secure, HttpOnly, SameSite
  • disclosure — Server, X-Powered-By, X-AspNet-Version
  • deprecated — X-XSS-Protection, HPKP, Expect-CT, Feature-Policy
  • TLS — version, cipher, signature, expiration, chaîne
  • HTTPS / HSTS preload — redirection HTTP→HTTPS, éligibilité HSTS preload
  • CSP detail — directives, sources dangereuses, nonce/hash/strict-dynamic
  • Mixed content — ressources HTTP sur page HTTPS
  • SRI — integrity sur scripts/styles cross-origin
  • iframes / target=_blank / forms — iframes sandbox, target=_blank, forms HTTPS
  • Endpoints sensibles — /.env, /.git, /server-status, backups
  • .well-known — security.txt, change-password
  • CORS · OPTIONS — Origin tiers, méthodes autorisées
  • Recommandations — priorisées par impact