Partie 2 — HTTP, navigateur & confiance
⏱️ TL;DR — Toutes les attaques web se jouent sur le terrain de HTTP et du navigateur. Impossible de défendre un terrain qu’on ne connaît pas. Cette partie l’explore côté sécurité : le voyage d’une requête et le modèle d’origine (la Same-Origin Policy, socle de l’isolation web), les cookies et les sessions (avec les attributs
HttpOnly,Secure,SameSitequi font toute la différence), ce que HTTPS/TLS protège réellement — et ce qu’il ne protège pas —, et enfin les en-têtes de sécurité (CSP, HSTS,X-Frame-Options…) qui durcissent le navigateur du visiteur. Ce sont les briques que manipulent le XSS, le CSRF, le vol de session et le clickjacking.
Le problème qu’on résout
Un dev peut passer des années à construire des applis web sans jamais avoir regardé de près ce qui se passe réellement entre le navigateur et le serveur : ce que contient une requête, qui décide d’envoyer un cookie, pourquoi un script d’un site ne peut pas lire les données d’un autre, ce que le cadenas HTTPS garantit exactement. Or c’est précisément là que vivent le vol de session, le CSRF, le XSS et le clickjacking.
Cette partie comble ce trou. Elle ne présente pas encore les attaques en détail (chaque famille a sa partie dédiée) mais installe le modèle mental du navigateur comme frontière de confiance : quelles protections il applique nativement, comment elles se configurent, et où sont leurs limites.
Ce que tu sauras faire à la fin de cette partie
- Décrire le voyage d’une requête HTTP et lire ses parties sensibles (méthode, en-têtes, corps).
- Définir une origine et expliquer la Same-Origin Policy — le socle de l’isolation web.
- Configurer un cookie de session correctement :
HttpOnly,Secure,SameSite, préfixes. - Dire précisément ce que HTTPS protège (transport) et ce qu’il ne protège pas (XSS, injection…).
- Poser les principaux en-têtes de sécurité (CSP, HSTS,
X-Content-Type-Options,X-Frame-Options,Referrer-Policy) et savoir à quoi chacun sert.
Les chapitres
| # | Chapitre | En un mot |
|---|---|---|
| 2.1 | Requête, origine & Same-Origin Policy | Anatomie d’une requête, origine, SOP, le navigateur comme frontière. |
| 2.2 | Cookies & sessions | HttpOnly, Secure, SameSite, préfixes, cookie vs localStorage. |
| 2.3 | HTTPS/TLS : ce qu’il protège | Chiffrement du transport, ce que TLS garantit… et pas. |
| 2.4 | En-têtes de sécurité | CSP, HSTS, nosniff, X-Frame-Options, Referrer-Policy. |
Avec ce terrain en main, on peut plonger dans les mécanismes cryptographiques que toute appli utilise sans toujours les comprendre. Direction la Partie 3 — Cryptographie pour devs.
On commence : Requête, origine & Same-Origin Policy — comprendre l’isolation qui protège (et que les attaques cherchent à contourner).