1. Web
  2. Sécurité Web
  3. Défenses

Cette page a été traduite à partir de l'anglais par la communauté. Vous pouvez contribuer en rejoignant la communauté francophone sur MDN Web Docs.

View in English Always switch to English

Défenses

Ces pages décrivent des fonctionnalités de la plateforme Web qui fournissent des défenses contre une ou plusieurs attaques de sécurité.

En règle générale, il existe une relation plusieurs-à-plusieurs (many-to-many en anglais) entre les attaques et les défenses. Dans chacun de nos guides sur les attaques nous décrivons les défenses spécifiques contre cette attaque. Dans les pages de défenses listées ci‑dessous, nous proposons un aperçu plus large de ces défenses et de leur fonctionnement.

Transparence des certificats

Fournit un journal public des certificats TLS émis, ce qui facilite la détection de ceux qui sont malveillants ou incorrectement émis.

Blocage du contenu mixte

Empêche un document livré via HTTPS de charger des sous‑ressources (comme des scripts, des images ou des polices) via HTTP.

Politique de même origine

Restreint les manières dont le contenu chargé depuis une origin peut accéder au contenu chargé depuis une origine différente. Elle contrôle dans quelle mesure les sites peuvent accéder à l'état des autres.

Contextes sécurisés

Un contexte sécurisé est une Window ou un Worker pour lequel certaines garanties d'authentification et de confidentialité sont remplies. Cela signifie généralement qu'il a été livré via HTTPS. Le code exécuté dans un contexte sécurisé peut utiliser des API Web puissantes qui ne sont pas disponibles dans des contextes non sécurisés.

Intégrité des sous-ressources

Permet à un site Web de vérifier que les scripts et feuilles de style chargés depuis une source externe (par exemple un CDN) contiennent le contenu attendu et n'ont pas été modifiés.

Sécurité de la couche transport (TLS)

Permet à un client de communiquer de manière sécurisée avec un serveur sur un réseau non fiable. Plus notablement, sur le Web, il est utilisé pour sécuriser les connexions HTTP : le protocole résultant s'appelle HTTPS. HTTPS est la seule défense réelle contre les attaques de type attaque de l'homme du milieu (MITM).

Activation par l'utilisateur

Pour protéger l'utilisateur·ice contre des sites potentiellement malveillants, certaines API puissantes ne peuvent être utilisées que lorsque l'utilisateur·ice interagit actuellement avec la page Web, ou a interagi avec la page au moins une fois depuis son chargement.

Help improve MDN

Learn how to contribute

Cette page a été modifiée le par les contributeurs du MDN.

View this page on GitHubReport a problem with this content