Visualiseur d'en-têtes HTTP

Inspecteur d'en-têtes HTTP de réponse — code de statut, content-type, CSP, HSTS, cache, cookies, CORS. Affiche aussi vos propres en-têtes de requête.

Vous avez des commentaires ? Signalez des bugs, suggérez des fonctionnalités ou partagez vos idées — nous lisons tout

Visualiseur d'en-têtes HTTP - Analyser les requêtes et réponses

Les en-têtes HTTP sont les métadonnées qui voyagent avec chaque requête et réponse web — la partie que vous ne voyez jamais dans la barre d'adresse mais qui contrôle comment fonctionne le cache, quels scripts peuvent se charger, si vos cookies survivent aux rechargements de page, si le site peut être intégré dans une iframe, quelle compression est utilisée, et comment le navigateur interprète le corps de la réponse. Cet outil expose les deux côtés de cette conversation : dans un panneau vous voyez les en-têtes de requête de VOTRE propre navigateur (User-Agent, Accept, Accept-Encoding, Cookie, Sec-Fetch-*, Sec-CH-UA — les nouveaux Client Hints qui remplacent progressivement le User-Agent), et dans l'autre panneau vous pouvez récupérer toute URL HTTP/HTTPS et inspecter ses en-têtes de réponse (code de statut avec la phrase de raison standard, Content-Type avec charset, règles Cache-Control, Set-Cookie avec tous les flags de sécurité, politique Strict-Transport-Security, directives Content-Security-Policy, X-Frame-Options pour la protection contre le clickjacking, Access-Control-Allow-Origin pour la configuration CORS, empreinte du logiciel serveur). Utile pour déboguer les intégrations API, valider le durcissement de sécurité (vérifiez que votre site envoie HSTS et un CSP strict), faire de la rétro-ingénierie du comportement de cache, ou apprendre comment la couche protocole web se comporte réellement. Les cibles bloquées par CORS sont courantes — le message vous dira exactement quand cela arrive, et dans ces cas l'onglet Réseau des DevTools du navigateur reste votre solution de repli.

Que sont les en-têtes HTTP ?

Les en-têtes HTTP sont des métadonnées échangées entre un client (navigateur) et un serveur dans chaque requête ou réponse. Ils fournissent des informations essentielles sur :

- Les détails de la requête (type de navigateur, formats acceptés, authentification)
- Les détails de la réponse (type de contenu, règles de cache, cookies)
- Les politiques de sécurité (CORS, CSP, X-Frame-Options)
- L'encodage et la compression du contenu
- La gestion de la connexion

Sans en-têtes corrects, les navigateurs ne peuvent pas interpréter correctement le contenu livré.

Comment utiliser ce visualiseur d'en-têtes ?

La prise en main est très simple :

1. Consultez vos en-têtes actuels dans la section "Vos en-têtes de requête"
2. Pour analyser un site, saisissez son URL dans le champ prévu
3. Cliquez sur "Analyser les en-têtes" pour demander les en-têtes de réponse
4. Examinez le code de statut, les en-têtes renvoyés et leurs valeurs

Important : à cause du CORS (Cross-Origin Resource Sharing), certains sites refusent les requêtes provenant d'un outil web. Il s'agit d'un comportement de sécurité normal.

Que sont les en-têtes de requête ?

Les en-têtes de requête sont envoyés par votre navigateur vers le serveur et incluent par exemple :

- User-Agent : informations sur le navigateur et l'OS
- Accept : formats de contenu acceptés
- Accept-Language : langues préférées
- Accept-Encoding : méthodes de compression supportées
- Cookie : cookies stockés pour le domaine
- Referer : page précédente
- Authorization : identifiants d'authentification

Ces en-têtes indiquent au serveur comment répondre selon vos capacités et préférences.

Que sont les en-têtes de réponse ?

Les en-têtes de réponse proviennent du serveur et fournissent :

- Statut : résultat de la requête (200 OK, 404 Not Found, etc.)
- Content-Type : format du contenu renvoyé
- Content-Length : taille du corps de réponse
- Set-Cookie : cookies à enregistrer
- Cache-Control : directives de mise en cache
- Access-Control-* : autorisations CORS
- Server : logiciel serveur utilisé

Ils indiquent au navigateur comment traiter le contenu téléchargé.

Visualiseur d'en-têtes HTTP — Inspecteur d'en-têtes HTTP de réponse — code de statut, content-type, CSP, HSTS, cache, cookies, CORS. Affiche aussi vos — **Visualiseur d'en-têtes HTTP**

Que signifie une erreur CORS ?

CORS (Cross-Origin Resource Sharing) est un mécanisme de sécurité qui bloque les requêtes provenant d'un autre domaine. Lorsqu'une erreur CORS apparaît :

- Le serveur cible refuse les requêtes cross-origin
- Ce blocage est volontaire et conforme aux bonnes pratiques
- Votre navigateur et l'outil fonctionnent correctement
- De nombreux sites bloquent CORS pour protéger leurs données

Pour contourner le problème :
- Utilisez une extension qui désactive CORS (uniquement pour des tests)
- Analysez des URL compatibles CORS
- Réalisez vos tests depuis un outil côté serveur
- Consultez directement les en-têtes dans les DevTools (F12 > Réseau)

Quels en-têtes de sécurité tout site web moderne devrait-il envoyer ?

La ligne de base minimale en 2026 inclut sept en-têtes. (1) Strict-Transport-Security (HSTS) : force HTTPS pour l'année à venir — 'max-age=31536000; includeSubDomains; preload'. (2) Content-Security-Policy : liste blanche des sources script/style/image autorisées — commencez avec 'default-src 'self'' et resserrez à partir de là. (3) X-Content-Type-Options : 'nosniff' — empêche les attaques de MIME-sniffing où le navigateur essaie de deviner si un .txt est en fait du JS. (4) X-Frame-Options : 'DENY' ou 'SAMEORIGIN' — bloque votre site d'être encadré par des attaquants (clickjacking). (5) Referrer-Policy : 'strict-origin-when-cross-origin' — limite la quantité d'info referrer qui fuit vers les tiers. (6) Permissions-Policy : désactivez les fonctionnalités que vous n'utilisez pas (caméra, micro, géolocalisation, USB). (7) Cross-Origin-Opener-Policy : 'same-origin' — active la protection Spectre et les APIs crossOriginIsolated. Mozilla Observatory (observatory.mozilla.org) les note pour vous ; visez un A+.

Pourquoi obtenir une IP/serveur différente en vérifiant ici vs mes logs serveur ?

Parce que la requête de votre navigateur passe par plusieurs couches avant d'atteindre le serveur d'origine. (1) Le NAT sortant de votre FAI traduit votre IP locale en une IP publique — votre serveur voit l'IP publique NATée, pas votre adresse domestique. (2) Les edges CDN (Cloudflare, Fastly, Akamai) terminent la connexion TLS au point géographique le plus proche — votre serveur voit l'IP de l'edge CDN, pas celle du visiteur. L'IP réelle du visiteur, si transmise, vit dans les en-têtes X-Forwarded-For ou CF-Connecting-IP que le CDN insère. (3) Les reverse proxies (nginx, HAProxy) devant votre application obscurcissent le client de manière similaire. (4) L'en-tête Server sur la plupart des sites modernes est intentionnellement faux ou supprimé — sécurité par l'obscurité. Pour voir la chaîne réelle, faites une requête vers un endpoint de débogage sur votre propre serveur qui retourne en écho les en-têtes complets qu'il reçoit, puis comparez avec ce que cet outil affiche en sortie du navigateur.

Mes données sont-elles protégées ?

Oui, tout se passe dans votre navigateur :

- L'outil lit vos en-têtes de requête localement
- Lors d'une vérification, la requête part directement vers l'URL
- Aucune donnée n'est transmise à nos serveurs
- Aucun journal ni suivi des URL analysées
- Fonctionne hors ligne pour consulter vos propres en-têtes

Cette approche 100% côté client garantit votre confidentialité.