Quand je teste certains sites joomla via https://securityheaders.io/
J'ai beaucoup de mauvaises surprises et celui qui sort du lot honorablement, c'est le site d'aesecure :
Si on se concentre sur les problèmes, on a 5 points prioritaires à vérifier :
- Content-Security-Policy
- X-Frame-Options
- X-XSS-Protection
- X-Content-Type-Options
- Referrer-Policy
Pour ma part, j'ai trouvé quelques articles intéressants sur ce sujet :
- https://openweb.eu.org/articles/content-security-policy
- http://www.trucsweb.com/tutoriels/securite/csp/
- https://www.lexsi.com/securityhub/en...-ses-echanges/
- je n'ai pas trouvé d'extension mais un outil pour créer la CSP : https://report-uri.io/home/tools
- Eligibilité HSTS : https://hstspreload.org/
Si vous connaissez une info sur ce sujet autour (et exemples autour de joomla), n'hésitez pas à partager
