Serveurs web

Une partie des attaques web peuvent être bloquées en utilisant des mécanismes implémentés dans les navigateurs et activés du coté des serveurs web, reverse proxy (Nginx) ou certains CDNs (Akamai Cloudflare etc.) voir la liste par MDN.

Dotnet Core

l’ajout des en-têtes de sécurité se fait simplement grâce aux middlewares via context.Response.Headers.Add( ) comme nous le montre cet article de c-sharpcorner.

Nodejs/Express

Le middleware Helmet nous fourni la plupart des en-têtes de sécurité, avec la possibilité de les configurer simplement (comme pour les CSP).

Nginx

Simple a configurer, et permet de décharger un peu les serveurs applicatifs de cette tache (d’ajout d’en-têtes). A lire aussi ce mémo.

Scanner son site

Linux

Linux nous met a disposition pas mal d’outil de scan:

Web check

Plusieurs webapps nous permettent de scanner notre site pour y détecter les en-têtes de sécurité manquants comme :

Liens