Renforcer la sécurité avec les en-têtes X-Security

Photo by Dayne Topkin on Unsplash

Voici trois techniques .htaccess pour renforcer la sécurité de votre site. Ces techniques permettent d'ajouter des en-têtes de sécurité supplémentaires à toutes les ressources de votre site. Plus précisément, ce tutoriel explique comment ajouter des en-têtes X-Security pour protéger contre le cross-site scripting (XSS), le page-framing et le content sniffing. L'ajout de ces en-têtes supplémentaires est simple et contribue à renforcer la sécurité de votre site.

Protéger contre les attaques XSS

Tout d'abord, nous voulons ajouter un en-tête X-Security pour aider à se protéger contre le XSS. Pour ce faire, ajoutez la directive suivante au fichier racine .htaccess de votre site :

# X-XSS-Protection
<IfModule mod_headers.c>
	Header set X-XSS-Protection "1; mode=block"
</IfModule>

Aucune modification n'est nécessaire, il suffit de faire un copier/coller et le tour est joué. Ce code fonctionne en ajoutant l'en-tête X-XSS-Protection aux réponses de votre serveur. La plupart des navigateurs web modernes comprennent cet en-tête et l'utilisent pour protéger votre site contre les attaques de type "cross-site scripting".

Protection contre le page-framing et le click-jacking

Ensuite, nous voulons ajouter un en-tête X-Security pour aider à protéger contre le cadrage des pages et le détournement de clics. Pour ce faire, ajoutez la directive suivante au fichier racine .htaccess de votre site :

# X-Frame-Options
<IfModule mod_headers.c>
	Header always append X-Frame-Options SAMEORIGIN
</IfModule>

Aucune modification n'est nécessaire, il suffit de faire un copier/coller et le tour est joué. Ce code fonctionne en ajoutant l'en-tête X-Frame-Options aux réponses de votre serveur. La plupart des navigateurs web modernes comprennent cet en-tête et l'utiliseront pour garantir que votre page ne puisse être affichée dans un cadre que si le cadre se trouve dans le même domaine.

Protéger contre le content-sniffing

Enfin, nous voulons ajouter un en-tête X-Security pour aider à protéger contre le content-sniffing. Pour ce faire, ajoutez la directive suivante au fichier racine .htaccess de votre site :

# X-Content-Type nosniff
<IfModule mod_headers.c>
	Header set X-Content-Type-Options nosniff
</IfModule>

Aucune modification n'est nécessaire, il suffit de faire un copier/coller et le tour est joué. Ce code fonctionne en ajoutant l'en-tête X-Content-Type-Options aux réponses de votre serveur. La plupart des navigateurs web modernes comprennent cet en-tête et l'utiliseront pour garantir des types MIME corrects pour toutes les ressources chargées (par exemple, CSS, JavaScript, polices, images, vidéo, etc.).

Combiner les trois en-têtes X-Security

Maintenant que nous avons vu les en-têtes X-Security que nous voulons ajouter, combinons-les en un seul extrait de code plug & play :

# Extra Security Headers
<IfModule mod_headers.c>
	Header set X-XSS-Protection "1; mode=block"
	Header always append X-Frame-Options SAMEORIGIN
	Header set X-Content-Type-Options nosniff
</IfModule>

Ajoutez cela au fichier .htaccess à la racine de votre site et c'est tout. Aucune modification n'est nécessaire.

Sources

Ces informations sont traduites de cet article.

Commentaires