CONF02_Absence de durcissement des entêtes HTTP #404

ClemGerard · 2024-04-04T11:51:44Z

Priorité de mise en œuvre	Complexité de mise en œuvre
MOYEN TERME	MOYENNE

Constat

Les entêtes HTTP exposés par le service Nginx ne sont configurés pour apporter des mesures de sécurité supplémentaires côté client. Les entêtes Content-Security-Policy, X-Frame-Options, X-Content-Type-Options et Referrer-Policy ne sont pas définis.

Risque

L’absence de l’entête Content-Security-Policy facilite la réalisation d’une attaque XSS. L’absence de l’entête “X-Frame-Option” facilite la réalisation d’attaque de clickjacking. L’absence d’entête “Referrer-Policy” pourrait permettre la fuite d’information sensible. L’absence de “X-Content-Type-Option” pourrait permettre le téléchargement forcé de documents par le client.

Tasks

définir les en-tête Content-Security-Policy, X-Frame-Options, X-Content-Type-Options et Referrer-Policy, tel que définis dans le rapport détaillé.

ClemGerard added this to the Correctifs Audit configuration milestone Apr 4, 2024

ClemGerard assigned ClemGerard and thomashbrnrd and unassigned ClemGerard Apr 4, 2024

ClemGerard added bug Something isn't working invalid This doesn't seem right and removed bug Something isn't working labels Apr 4, 2024

Provide feedback

Saved searches

Use saved searches to filter your results more quickly

CONF02_Absence de durcissement des entêtes HTTP #404

CONF02_Absence de durcissement des entêtes HTTP #404

ClemGerard commented Apr 4, 2024 •

edited

Loading

CONF02_Absence de durcissement des entêtes HTTP #404

CONF02_Absence de durcissement des entêtes HTTP #404

Comments

ClemGerard commented Apr 4, 2024 • edited Loading

Constat

Risque

Tasks

ClemGerard commented Apr 4, 2024 •

edited

Loading