Test d'en-tête de stratégie interdomaine

L'outil de test de stratégie interdomaine vérifie la présence d'une stratégie de sécurité interdomaine dans les en-têtes HTTP renvoyés par votre site Web. Pour ceux qui ne le savent pas, les en-têtes inter-domaines indiquent au navigateur le type de politique que le serveur a mis en place pour les requêtes Ajax qui ne sont pas dirigées depuis le même domaine. "Même domaine" dans ce cas signifie que si la page Web donnée a été chargée sur mydomain.com, par exemple, si elle envoie des requêtes à api.mydomain.com, ces requêtes seront bloquées. Il en va de même pour les requêtes envoyées à mydomain.com:8000, qui n'est pas traité comme "même domaine" car le port est différent.

Pourquoi devriez-vous vous en soucier?

Restreindre les requêtes du navigateur au même domaine est une excellente idée en matière de sécurité Web. Il empêche, par exemple, les scripts malveillants d'envoyer des informations à d'autres domaines. Cela dit, il n'est pas toujours possible de travailler dans cette restriction. Les applications modernes sont déployées en tant qu'applications à page unique (SPA), où l'interface se trouve sur un domaine/port complètement différent du côté serveur de l'application. Dans de tels cas, il est indispensable d'avoir des en-têtes inter-domaines qui indiquent aux navigateurs de faire confiance à certains/tous les domaines pour les requêtes entrantes.

Par conséquent, si ces en-têtes sont manquants (peut-être les avez-vous oubliés ?), le site Web cessera de fonctionner pour les requêtes inter-domaines.

ce guide de mise en œuvre si vous avez besoin d'aide dans la configuration.