Sécurisation des navigateurs web : Différence entre versions

Version actuelle datée du 26 juillet 2018 à 11:31

Les entêtes Http permettent de protéger de manière simple son portail web de vulnérabilité connu. Elle se paramètre soit directement sur le serveur web soit sur un load balancer (type Bigip).

Les entêtes sont très facilement testable en ligne et permet d'obtenir une note allant de A à F.

Recommandation COSC:

A est la note recommandé par le COSC.

Tester ma plateforme

Tester

Corriger ma plateforme

Corriger

@@ Ligne 1 : / Ligne 1 : @@
-Expliquer les notions des headers et comment les tester
+Les entêtes Http permettent de protéger de manière simple son portail web de vulnérabilité connu. Elle se paramètre soit directement sur le serveur web soit sur un load balancer (type Bigip).
-===<div style="color:#FFFFFF; background-color:  #046AAF">'''X-FRAME-OPTIONS'''</div>===
+Les entêtes sont très facilement testable en ligne et permet d'obtenir une note allant de A à F.
-L’en-tête HTTP X-Frame-Options permet d’indiquer aux navigateurs supportant cette extension, d’afficher ou non une page dans un champ HTML ‘<frame>’, ‘<iframe>’ ou ‘<object>’.
+'''Recommandation COSC:'''
-L’Intérêt cet en-tête est de se protéger des attaques de type « ClickJacking », en s’assurant que le contenu du site internet à protéger ne soient pas embarqués dans d’autres sites.
+A est la note recommandé par le COSC.
+===<div style="color:#FFFFFF; background-color:  #046AAF">'''Tester ma plateforme'''</div>===
-Il est possible d’utiliser 3 valeurs de paramétrage :
-*'''DENY :''' La page ne pourra pas être affichée dans une balise <(i)frame>
-*'''SAMEORIGIN :''' La page ne pourra être affichée dans une balise <(i)frame>que si la page provient du même domaine et du même port (SOP : Same Origin Policy )
-*'''ALLOW-FROM uri :''' La page ne pourra être affichée dans une balise <(i)frame> que si elle provient de l’origine spécifiée.
-Si vous spécifions DENY, il sera impossible de faire des frames dans le site Internet, même avec des pages internes.
-Si vous souhaitez intégrer des frames de votre site (même domaine), il faudra utiliser SAMEORIGIN mais il faudra faire attention que les pages à inclure soient présentes sur le même protocole (par exemple il n’est pas possible d’inclure la page http://www.docapost.fr/page1.html depuis la page https://www.docapost.fr/page2.html).
-Enfin, si vous avez besoin d'intégrer des pages externes, il faudra utiliser ALLOW-FROM et spécifier le domaine ou la page.
-===<div style="color:#FFFFFF; background-color:  #707173">'''Configuration'''</div>===
    <btn class="btn-primary">
-         x-frame-options-bigip|Bigip
+         Test des entêtes HTTP|Tester
       </btn>
-  <btn class="btn-primary">
+===<div style="color:#FFFFFF; background-color:  #046AAF">'''Corriger ma plateforme'''</div>===
-         x-frame-options-Apache|Apache
-     </btn>
- <btn class="btn-primary">
-         x-frame-options-iis|IIS
-     </btn>
-===<div style="color:#FFFFFF; background-color:  #046AAF">'''X-XSS-Protection'''</div>===
-Cet en-tête permet d’activer les filtres anti-xss incorporés dans certains navigateurs. Seuls Internet Explorer, Google Chrome et Safari (WebKit) supportent cet en-tête.
-Les réglages suivants sont valides :
-: Désactive les protections XSS du navigateur
-: Active les protections XSS du navigateur
-; mode=block : Active la protection XSS du navigateur et bloque la réponse au lieu de nettoyer les valeurs
-; report=http://site.com/report : Directive spécifique à Chrome et WebKit lui indiquant d’envoyer, via une requête POST, l’attaque XSS potentielle à l’url spécifiée au format JSON.
-===<div style="color:#FFFFFF; background-color:  #707173">'''Configuration'''</div>===
    <btn class="btn-primary">
-         x-xss-protection-bigip|Bigip
+         Mise en place des entêtes HTTP|Corriger
-     </btn>
-  <btn class="btn-primary">
-         x-xss-protection-Apache|Apache
-     </btn>
- <btn class="btn-primary">
-         x-xss-protection-iis|IIS
       </btn>