Inspectez les en-têtes de réponse HTTP et analysez les en-têtes de sécurité de n'importe quel site web.
Vérifier les en-têtes
Que sont les en-têtes HTTP ?
Les en-têtes HTTP sont des métadonnées échangées entre le navigateur et le serveur à chaque requête et réponse. Ils régissent la mise en cache, l'authentification, le type de contenu, les politiques de sécurité, et bien plus encore. L'analyse des en-têtes permet de diagnostiquer les problèmes de performances et de vérifier les configurations de sécurité.
Comment fonctionne cet outil
Saisissez une URL complète et l'outil envoie une requête `HEAD` via une fonction de périphérie Xitoring. Nous capturons tous les en-têtes de réponse — y compris ceux liés à la sécurité que les outils de développement de votre navigateur peuvent réduire ou masquer — puis nous les classons par catégorie afin que vous puissiez voir d'un seul coup d'œil quelles protections sont en place et lesquelles font défaut. L'outil suit les redirections jusqu'à trois sauts ; ainsi, une URL de type `http://...` est signalée avec ses en-têtes HTTPS finaux.
En-têtes de sécurité importants
Strict-Transport-Security — Force les connexions HTTPS et empêche les attaques par rétrogradation
Content-Security-Policy — Contrôle les ressources que le navigateur est autorisé à charger
X-Frame-Options — Empêche le clickjacking en contrôlant l'intégration en iframe
X-Content-Type-Options — Empêche les attaques par détection de type MIME
Referrer-Policy — Contrôle la quantité d'informations de référent envoyées avec les requêtes
Surveillez la disponibilité et les performances de votre site web
Surveillez en permanence les statuts HTTP, les temps de réponse et les certificats SSL.
Comment fonctionne cet outil et ce que les en-têtes de réponse vous indiquent réellement.
Cet outil transite-t-il par les serveurs de Xitoring ?
Oui — la requête passe par une fonction Xitoring Edge, ce qui nous permet de récupérer les en-têtes depuis l'extérieur de votre réseau et de renvoyer une réponse « propre », y compris pour les points de terminaison soumis à des restrictions CORS que le navigateur bloquerait autrement. Nous n'enregistrons ni l'URL ni le contenu de la réponse. Si vous avez besoin d'inspecter une URL que vous préférez ne pas partager avec des tiers, utilisez `curl -I ` localement.
Pourquoi certains en-têtes de sécurité sont-ils manquants sur mon site ?
Les en-têtes de sécurité tels que `Content-Security-Policy`, `Strict-Transport-Security` et `X-Frame-Options` sont activables à la demande : ils ne sont pas générés par défaut. Il faut configurer soit votre serveur web d'origine (Nginx, Apache, IIS), soit votre CDN (Cloudflare, Fastly, AWS CloudFront) pour les ajouter. La liste des en-têtes manquants dans le résultat vous indique lesquels ajouter et, de manière générale, ce contre quoi chacun d'entre eux protège.
Dois-je m'inquiéter si mon site ne dispose pas d'une politique de sécurité du contenu (Content-Security-Policy) ?
La CSP est la mesure de protection la plus efficace contre les attaques de type « cross-site scripting », mais c'est aussi l'en-tête le plus difficile à mettre en œuvre correctement, car elle peut empêcher le bon fonctionnement de scripts légitimes. Si votre site affiche du contenu généré par les utilisateurs, intègre des widgets tiers ou accepte des soumissions de formulaires, donnez la priorité à la CSP. Commencez par le mode `Content-Security-Policy-Report-Only`, recensez les violations pendant une semaine, puis passez au mode d'application.
Quelle est la différence entre le protocole HSTS et une redirection HTTP vers HTTPS ?
Une redirection HTTPS s'effectue côté serveur : elle renvoie un code 301 ou 308 dès la première requête vers `http://...`. Cette première requête circule toujours en texte clair et peut donc être interceptée. HSTS (`Strict-Transport-Security`) est un en-tête qui, une fois détecté par un navigateur, empêche celui-ci d'envoyer des requêtes en texte clair vers votre domaine, avant même que l'utilisateur ne tape `https://`. La directive `preload`, associée à l'enregistrement sur `hstspreload.org`, ajoute votre domaine à la liste de préchargement du navigateur, de sorte que même la toute première connexion est sécurisée.
Puis-je vérifier des URL internes ou privées avec cet outil ?
Uniquement si elles sont accessibles depuis l'Internet public. La récupération s'effectue côté serveur depuis notre périphérie ; par conséquent, les URL situées derrière un VPN, sur un réseau privé ou accessibles uniquement via `localhost` ne fonctionneront pas. Pour les services internes, exécutez `curl -I ` depuis un hôte au sein du réseau, ou utilisez la [surveillance de sites web](https://xitoring.com/website-monitoring) de Xitoring, qui peut effectuer des requêtes depuis un nœud privé.
Pourquoi le temps de réponse diffère-t-il de celui indiqué par mon navigateur ?
Le temps indiqué correspond à une seule requête `HEAD` envoyée depuis notre périphérie vers votre serveur ; il s'agit du temps aller-retour, auquel s'ajoute le temps nécessaire à la génération des en-têtes de réponse. La mesure effectuée par votre navigateur inclut également la résolution DNS, la négociation TLS, le téléchargement complet du contenu, l'exécution des scripts bloquant le rendu et toutes les redirections intermédiaires. Pour obtenir des performances réelles sur le terrain, utilisez le Real User Monitoring (RUM) ou les Core Web Vitals via PageSpeed Insights ; pour des contrôles synthétiques à partir de plusieurs zones géographiques, utilisez la surveillance de sites web de Xitoring.