Comment ajouter des en-têtes http en utilisant Plesk

Il y a plusieurs raisons pour lesquelles vous pouvez vouloir ajouter des en-têtes personnalisés sur votre site Web, mais la raison la plus courante aujourd’hui est d’ajouter des en-têtes de sécurité apache ou nginx. La plupart de ces en-têtes ne peuvent pas être pré-appliqués globalement car ils affecteraient directement la fonctionnalité de certains sites qui dépendent d’une fonctionnalité que ces en-têtes limiteraient, et donc les appliquer sur une base par site est la meilleure et la seule façon de les ajouter.

Voici quelques autres raisons pour lesquelles vous pourriez vouloir ajouter des en-têtes personnalisés :

• Un guide d’application web vous a demandé de modifier ou d’ajouter des en-têtes HTTP/HTTPS à la configuration de votre serveur web.
• Vous souhaitez ajouter l’un des types d’en-têtes suivants : Vary, CORS, Cache-Control, X-Frame-Options, etc.

ASTUCELes documents d’assistance de Plesk sur l’ajout d’en-têtes CORS indiquent d’ajouter ces en-têtes à des champs que vous ne voyez pas dans Plesk, car seuls les administrateurs ont accès aux champs “Directives supplémentaires”. Les étapes ci-dessous vous permettront de contourner ce problème.

Heureusement, Plesk dispose d’une fonctionnalité qui rend cette opération facile ! Voici comment procéder :

Commencez par vous connecter à Plesk

Trouvez votre domaine dans la liste et cliquez dessus pour modifier sa configuration, ou bien mettez l’accent sur la grille des options de configuration des boutons. Si vos options sont sous forme d’onglets, cliquez sur l’onglet “Hosting &amp ; DNS”.

Sélectionnez le bouton intitulé “Apache &amp ; nginx Settings”.

Sous Paramètres communs d’Apache vous trouverez En-têtes supplémentaires. Sélectionnez “Entrer une valeur personnalisée” et entrez vos en-têtes ici. Notez que même si le titre de cette section inclut “Apache”, la plupart des éléments (sinon tous) s’appliquent à nginx, à moins qu’il ne soit désactivé. Un exemple du format/syntaxe à utiliser est fourni en dessous de la zone de saisie de texte.

Le format à utiliser ici est Header : Valeur

Lorsque vous avez terminé, faites défiler la page et cliquez sur OK.

En-têtes de sécurité courants à utiliser

Voici un excellent ensemble d’en-têtes de sécurité à appliquer à votre site, bien qu’il soit fortement recommandé de regarder comment définir une politique de sécurité de contenu (Content-Security-Policy) car la valeur correcte dépendra fortement du contenu de votre site.

X-Frame-Options : SAMEORIGIN
X-XSS-Protection : 1 ; mode=block
X-Content-Type-Options : nosniff
Content-Security-Policy : frame-ancestors ‘self’ ; img-src ‘self’ https://secure.gravatar.com https://www.facebook.com https://i.ytimg.com

Ces en-têtes empêchent d’autres sites de faire des choses malveillantes avec votre site. Par exemple, X-Frame-Options précise que seuls les sites/applications fonctionnant sur votre propre domaine peuvent placer votre site dans un cadre/iframe.

Avertissement : Vous ne souhaiterez peut-être pas utiliser Content-Security-Policy si vous utilisez WordPress et que vous ajoutez régulièrement de nouvelles fonctionnalités. L’objectif de cet en-tête est de garantir que seules les sources spécifiées dans la liste sont autorisées à fournir des fichiers pour votre site web. Si vous définissez cet en-tête et ajoutez ensuite au site une fonctionnalité qui repose sur une ressource (image, javascript, feuille de style) ne figurant pas dans cette liste, la fonctionnalité ne fonctionnera probablement pas tant que vous ne l’aurez pas ajoutée. Cela dit, vous pouvez utiliser notre guide d’utilisation de l’inspecteur Web de votre navigateur et de son onglet console pour vous aider à diagnostiquer de tels problèmes et à mettre à jour votre en-tête CSP, car les erreurs qui s’y rapportent y seront signalées.