Exercices B01
Headers HTTP & Helmet — 10 exercices pratiques
EX1Header manquant critique
Ce serveur Express renvoie les en-têtes suivants. Quel header de sécurité critique est absent ?
HTTP/1.1 200 OK X-Frame-Options: SAMEORIGIN X-Content-Type-Options: nosniff Referrer-Policy: no-referrer X-Powered-By: Express
EX2Identifier la vulnérabilité
Sans le header
X-Content-Type-Options: nosniff, quel type d'attaque est possible ?EX3Headers dangereux
Parmi ces en-têtes de réponse, lequel devrait être supprimé pour des raisons de sécurité ?
EX4Config Helmet — erreur
Identifiez le problème dans cette configuration Helmet :
app.use(helmet({ contentSecurityPolicy: false, hsts: false, frameguard: false, }));
EX5Helmet — ordre des middlewares
Dans quelle position faut-il placer
app.use(helmet()) dans une app Express ?EX6CSP minimale — API publique
Vous construisez une API REST qui ne sert pas de HTML. Quelle CSP minimale est appropriée ?
EX7CSP — autoriser un CDN
Votre app charge des scripts depuis
cdn.jsdelivr.net. Comment modifier correctement la CSP ?EX8Score HSTS
Quelle configuration HSTS donne le score maximal sur Mozilla Observatory ?
EX9Referrer-Policy — bonne pratique
Votre app e-commerce a des URLs de type
/products/12345?promo=SECRET50. Quelle Referrer-Policy choisir ?EX10Permissions-Policy
Votre application web n'utilise jamais la caméra, le micro ni la géolocalisation. Quelle directive Permissions-Policy utiliser ?