Balou Tools

🛡️ Audit des En-têtes de Sécurité

Vérifie les en-têtes de sécurité HTTP (HSTS, CSP, X-Frame-Options) et fournit des correctifs serveur.

Outils connexes & recommandés

Sécurité & SSL
Audit SSL/TLS

Analyse les certificats SSL/TLS, les chaînes de certificats, les dates d'expiration et les ciphers.

Lancer l'outil
Réseau & DNS
Audit d'En-têtes HTTP

Lit tous les en-têtes de réponse HTTP d'une adresse et analyse leur état.

Lancer l'outil

Guide & bonnes pratiques

Security Header Check avec score et recommandations

Détectez les en-têtes HTTP manquants ou faibles et obtenez des snippets exploitables pour les stacks courantes.

Cas d’utilisation typiques

Utile après déploiement, avant revue sécurité, pour durcir clickjacking/XSS, établir une baseline conformité ou comparer staging et production.

Comment Balou note les en-têtes

Balou récupère l’URL, catégorise les en-têtes pertinents, note les risques et relie les sujets CSP au CSP Evaluator.

Bonnes pratiques de durcissement

Commencez par HSTS, CSP, X-Content-Type-Options, Referrer-Policy et Permissions-Policy. Testez d’abord en staging.

Questions fréquentes

Quels en-têtes sont essentiels ?

HSTS, CSP, X-Content-Type-Options, frame-ancestors/X-Frame-Options et Referrer-Policy.

Pourquoi CSP est-elle délicate ?

Elle doit correspondre à l’application : trop stricte elle casse des ressources, trop large elle protège moins.

Puis-je copier les snippets ?

Utilisez-les comme base sûre et testez-les avec votre application, CDN et hébergeur.

Comment améliorer le score ?

Ajoutez les en-têtes manquants, évitez les wildcards risquées et durcissez CSP avec nonces ou hashes.