Security
LIVE
Security Headers
Analyse les en-têtes de sécurité HTTP : CSP, HSTS, X-Frame, etc.
utilisation:
sec-headers --url Qu'est-ce que Security Headers ?
Security Headers analizza gli header di sicurezza HTTP di un sito web, verificando la presenza e la corretta configurazione di protezioni come Content-Security-Policy (CSP), HSTS, X-Frame-Options, X-Content-Type-Options e Permissions-Policy. Identifica le vulnerabilità e fornisce raccomandazioni.
Questions fréquentes
Cosa sono gli header di sicurezza HTTP? +
Sono header nella risposta HTTP che istruiscono il browser su come comportarsi per proteggere l'utente: prevenire XSS, clickjacking, sniffing del content-type, e forzare connessioni HTTPS.
Cos'è Content-Security-Policy (CSP)? +
CSP è un header che specifica quali risorse (script, stili, immagini) il browser può caricare. Previene attacchi XSS impedendo l'esecuzione di script non autorizzati. È l'header di sicurezza più potente.
Cos'è HSTS? +
HSTS (HTTP Strict Transport Security) forza il browser a usare sempre HTTPS, prevenendo downgrade a HTTP e attacchi man-in-the-middle. Si configura con l'header Strict-Transport-Security.
Cos'è X-Frame-Options? +
Impedisce che la pagina venga inclusa in un iframe su altri siti, prevenendo attacchi di clickjacking. Valori: DENY (mai in iframe), SAMEORIGIN (solo nello stesso dominio).
Quali header di sicurezza sono essenziali? +
I fondamentali sono: Content-Security-Policy, Strict-Transport-Security (HSTS), X-Content-Type-Options: nosniff, X-Frame-Options, e Referrer-Policy. Permissions-Policy è consigliato.
Come aggiungo gli header di sicurezza? +
Si configurano nel web server (Apache: .htaccess, Nginx: add_header), nel CDN (Cloudflare, AWS CloudFront), o nell'applicazione. La configurazione dipende dal server e dal framework usato.