En-têtes de sécurité HTTP.

Les en-têtes de sécurité HTTP sont un levier peu coûteux et à fort impact pour durcir une application en s'appuyant sur les protections natives du navigateur. Le socle inclut « Strict-Transport-Security » (HSTS), « Content-Security-Policy » (CSP), « X-Content-Type-Options: nosniff », « X-Frame-Options » ou « frame-ancestors », « Referrer-Policy », « Permissions-Policy », « Cross-Origin-Opener-Policy » et « Cross-Origin-Resource-Policy ». Chacun couvre une classe d'attaques : rétrogradation de protocole, MIME sniffing, clickjacking, fuite via referer, accès abusif aux capacités du navigateur, isolement entre origines. Ils doivent figurer sur toutes les réponses (y compris pages d'erreur et API), être audités avec securityheaders.com ou Mozilla Observatory et appartenir à la baseline de configuration.