Repository with sources and generator of https://larlet.fr/david/ https://larlet.fr/david/
You can not select more than 25 topics Topics must start with a letter or number, can include dashes ('-') and can be up to 35 characters long.

index.md 902B

12345678910
  1. title: Headers et sécurité (2)
  2. En poursuivant [mes recherches](/david/stream/2015/07/14/) sur les *headers*, j’ai découvert le site [SecurityHeaders](https://securityheaders.io/) qui est plutôt bien documenté et qui m’a permis d’ajouter les lignes suivantes à ma configuration Apache :
  3. :::shell
  4. Header always set X-Content-Type-Options nosniff
  5. Header always set X-XSS-Protection "1; mode=block"
  6. Cela réduit la manière d’exposer mes ressources aux *mimetypes* que j’ai explicitement définis et limite les attaques XSS en laissant le navigateur essayer de les éviter de lui-même. Il me manque le *header* `Public-Key-Pins` pour être complet mais ça implique de [potentielles erreurs lors des mises à jours](https://scotthelme.co.uk/hpkp-http-public-key-pinning/) ([cache](/david/cache/03b7612652c2e454733ffae0b90274c8/)) des certificats alors j’hésite encore.