Il y a plusieurs raisons pour lesquelles vous voudrez peut-être ajouter des en-têtes personnalisés sur votre site Web, mais la raison la plus courante aujourd'hui est d'ajouter des en-têtes de sécurité apache ou nginx. Beaucoup de ces en-têtes ne peuvent pas être pré-appliqués globalement car ils affecteraient directement les fonctionnalités de certains sites qui dépendent de fonctionnalités que ces en-têtes restreindraient, et donc les appliquer sur une base par site est la meilleure et la seule façon de les ajouter.
Voici quelques autres raisons pour lesquelles vous pourriez vouloir ajouter des en-têtes personnalisés :
- Un guide d'application Web vous a demandé de modifier ou d'ajouter des en-têtes HTTP/HTTPS à la configuration de votre serveur Web
- Vous souhaitez ajouter l'un des types d'en-tête suivants :Vary, CORS, Cache-Control, X-Frame-Options, etc
CONSEIL :les documents d'assistance de Plesk sur l'ajout d'en-têtes CORS indiquent d'ajouter ces en-têtes aux champs que vous ne voyez pas dans Plesk, car seuls les administrateurs ont accès pour modifier les champs "Directives supplémentaires". Les étapes ci-dessous permettront de contourner ce problème.
Heureusement, Plesk a une fonctionnalité qui rend cela facile ! Voici comment procéder :
- Commencez par vous connecter à Plesk
- Recherchez votre domaine dans la liste et cliquez dessus pour modifier sa configuration, ou concentrez-vous sur la grille d'options de configuration des boutons. Si vos options sont à onglets, cliquez sur l'onglet "Hébergement &DNS"
- Sélectionnez le bouton intitulé "Paramètres Apache et nginx"
- Sous Paramètres Apache communs vous trouverez des en-têtes supplémentaires . Sélectionnez "Entrer une valeur personnalisée" et entrez vos en-têtes ici. Notez que même si le titre de cette section inclut "Apache", la plupart (sinon tous) les éléments ici s'appliqueront à nginx à moins qu'il ne soit désactivé. Un exemple de format/syntaxe à utiliser est fourni sous la zone de saisie de texte.
- Le format à utiliser ici est
Header: Value
- Lorsque vous avez terminé, faites défiler vers le bas et cliquez sur OK.
En-têtes de sécurité courants à utiliser
Ce qui suit est un excellent ensemble d'en-têtes de sécurité à appliquer à votre site, bien qu'il soit fortement recommandé de rechercher comment définir une politique de sécurité de contenu car la valeur correcte dépendra fortement du contenu de votre site.
X-Frame-Options: SAMEORIGIN X-XSS-Protection: 1; mode=block X-Content-Type-Options: nosniff Content-Security-Policy: frame-ancestors 'self'; img-src 'self' https://secure.gravatar.com https://www.facebook.com https://i.ytimg.com
Ces en-têtes empêchent d'autres sites de faire des choses malveillantes avec votre site. Par exemple, X-Frame-Options spécifie que seuls les sites/applications exécutés sur votre propre domaine peuvent placer votre site dans un cadre/iframe.
Avertissement : Vous ne souhaiterez peut-être pas utiliser Content-Security-Policy si vous utilisez WordPress et que vous ajoutez régulièrement de nouvelles fonctionnalités. L'objectif de cet en-tête est de garantir que seules les sources spécifiées dans la liste sont autorisées à fournir des fichiers pour votre site Web . Si vous définissez cet en-tête, puis ajoutez une fonctionnalité au site qui repose sur une ressource (image, javascript, feuille de style) non incluse dans cette liste, la fonctionnalité ne fonctionnera probablement pas tant que vous ne l'aurez pas ajoutée. Cela dit, vous pouvez utiliser notre guide d'utilisation de l'inspecteur Web de votre navigateur et de son onglet de console pour vous aider à diagnostiquer ces problèmes et mettre à jour votre en-tête CSP, car les erreurs s'y rapportant y seront signalées.