Test d'en-tête de stratégie interdomaine

Cet outil vérifie la politique de sécurité inter-domaines dans les en-têtes HTTP renvoyés par votre site Web.

Pour ceux qui ne le savent pas, les en-têtes inter-domaines informent le navigateur de la politique du serveur pour les requêtes Ajax qui ne sont pas dirigées depuis le même domaine.

"Même domaine" signifie que si la page Web donnée a été chargée sur mondomaine.com. Par exemple, ces requêtes seront bloquées si elles sont envoyées à api.mydomain.com. Il en va de même pour les requêtes envoyées à mydomain.com:8000, qui n'est pas traité comme le "même domaine" en raison du port différent.

Pourquoi devriez-vous vous en soucier?

Restreindre les requêtes du navigateur au même domaine est une excellente idée pour la sécurité Web.

Il empêche, par exemple, les scripts malveillants d'envoyer des informations à d'autres domaines. Cela dit, il n'est pas toujours possible de travailler dans cette restriction. Les applications modernes sont déployées en tant qu'applications à page unique (SPA), où l'interface se trouve sur un domaine/port complètement différent du côté serveur de l'application. Dans de tels cas, il est indispensable d'avoir des en-têtes inter-domaines qui indiquent aux navigateurs de faire confiance à certains/tous les domaines pour les requêtes entrantes.

Par conséquent, le site Web cessera de fonctionner si ces en-têtes sont manquants (peut-être les avez-vous oubliés ?) pour les requêtes inter-domaines.