Bonsoir,
Super article comme d'habitude, merci pour ce travail. Je suis toujours FAN de ton travail...
En vérifiant cette sécurité j'essaye de tout pointer sur "Vert"... Même si le bi-color fait joli.
Avec
# Extra Security Headers
<IfModule mod_headers.c>
Header set X-XSS-Protection "1; mode=block"
Header always append X-Frame-Options SAMEORIGIN
Header set X-Content-Type-Options nosniff
</IfModule>
Cela donne ceci:
Avec
# Security Headers
<IfModule mod_headers.c>
Header set X-Content-Type-Options "nosniff"
Header set X-XSS-Protection "1; mode=block"
Header set X-Frame-Options "SAMEORIGIN"
Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains"
Header always set Referrer-Policy "strict-origin-when-cross-origin"
Header set Expect-CT "enforce, max-age=604800"
#Header set Content-Security-Policy "default-src script-src script-src 'nonce-uG2bsk6JIH923nsvp01n24KE' 'unsafe-inline' 'unsafe-eval' 'self';"
Header always set Permissions-Policy "accelerometer=(self); ambient-light-sensor=(self); autoplay=(self); camera=(self); encrypted-media=(self); fullscreen=(self); geolocation=(self); gyroscope=(self); magnetometer=(self); microphone=(self); midi=(self); payment=(self); picture-in-picture=(*); speaker=(self); sync-xhr=(*); usb=(self); vr=(self);"
Header always edit Set-Cookie (.*) "$1; HTTPOnly; Secure"
Header set Connection keep-alive
</IfModule>
Cela donne ceci:
Je dois encore mettre le "content-security-policy"
y a t'il d'autre trucs qui serait bien de rajouter ?
Rien de bien grave et cela n'empêche pas une vrais attaque mais tant qu'a faire, tout en "vert" serait pas mal.
Et merci pour la source, je vais poursuivre la lecture 🙂
Bonne soirée à toi, bonne fin de week end et encore merci