Headers sécurité par défaut sur Yama Proxy

05 juin 2025

Nous avons mis en place plusieurs headers de sécurité par défaut sur Yama Proxy :

Strict-Transport-Security (HSTS) avec une durée de 6 mois
Content-Security-Policy : frame-ancestors https; (utilisé en remplacement de X-Frame-Options)
Referrer-Policy : strict-origin-when-cross-origin
X-Content-Type-Options : nosniff

Ces valeurs constituent de bons paramètres par défaut pour des sites statiques, offrant un niveau de sécurité satisfaisant sans configuration supplémentaire.

Évolutions prévues

Nous souhaitons aller plus loin en ajoutant une interface de configuration dans le CMS afin de permettre aux développeurs de personnaliser ces paramètres selon leurs besoins, notamment :

Configurer HSTS avec une durée de 2 ans et l’option preload
Activer et configurer le Cross-Origin-Resource-Policy
Définir des Content-Security-Policy plus spécifiques et adaptées à chaque projet

L’objectif est de conserver des valeurs sûres par défaut, tout en offrant davantage de flexibilité pour les cas d’usage avancés.

Continuer la navigation

Vous avez lu cet article, vous pourriez aimer les suivants

Mise en production de Yama Analytics et Alpha Release

31 octobre 2025

Améliorations Mai 2025

27 mai 2025