Strict-Transport-Sécurité
HTTP Strict Transport Security est une excellente fonctionnalité à prendre en charge sur votre site et renforce votre implémentation de TLS en demandant à l’agent utilisateur d’imposer l’utilisation de HTTPS.
Politique de sécurité du contenu
La politique de sécurité du contenu est une mesure efficace pour protéger votre site contre les attaques XSS. En mettant sur liste blanche les sources de contenu approuvé, vous pouvez empêcher le navigateur de charger des actifs malveillants.
Permissions-Politique
La politique d’autorisation est un nouvel en-tête qui permet à un site de contrôler les fonctionnalités et les API pouvant être utilisées dans le navigateur.
x-frame-options
X-Frame-Options indique au navigateur si vous souhaitez autoriser ou non l’encadrement de votre site. En empêchant un navigateur d’encadrer votre site, vous pouvez vous défendre contre des attaques telles que le détournement de clic.
x-xss-protection
X-XSS-Protection définit la configuration de l’auditeur XSS intégré aux anciens navigateurs.
x-options-de-type-de-contenu
X-Content-Type-Options empêche un navigateur d’essayer de renifler MIME le type de contenu et le force à s’en tenir au type de contenu déclaré.
politique de référence
La politique de référence est un nouvel en-tête qui permet à un site de contrôler la quantité d’informations que le navigateur inclut avec les navigations en dehors d’un document et doit être définie par tous les sites.
Cross-Origin-Embedder-Politique
La politique d’intégration d’origine croisée permet à un site d’empêcher le chargement d’actifs qui n’accordent pas l’autorisation de les charger via CORS ou CORP.
Cross-Origin-Opener-Policy
La politique d’ouverture d’origine croisée permet à un site d’opter pour l’isolement d’origine croisée dans le navigateur.
Cross-Origin-Resource-Policy
La stratégie de ressources d’origine croisée permet à un propriétaire de ressource de spécifier qui peut charger la ressource.