ONGLET EXTERNE ET SÉCURITÉ

L'onglet Externes et Sécurité de Screaming Frog pour l'analyse des éléments externes des sous-domaines.

Vue d’ensemble de la carte
Externe

L’onglet “Externe” comprend toutes les données concernant les URL externes. Les URL des sous-domaines autres que celui de la page initiale de l’analyse sont classés comme “externes”.

L’onglet comprend les valeurs suivantes réparties par colonnes :

  • Adresse: l’adresse de l’URL externe.
  • Type de contenu : le type de contenu découvert dans l’URL.
  • Code d’état: renvoie le code de réponse HTTP (200, 3xx, 4xx, 5xx).
  • Statut: représente la réponse de l’en-tête HTTP (“OK” pour la réponse 200 du serveur, “Internal Server Error” en cas de problèmes de serveur, “Forbitten” en cas de statut 403, etc.)
  • Profondeur du crawl : nombre de clics nécessaires pour atteindre une URL à partir de la page d’accueil ou de la page de crawl initiale.
  • Inlinks: nombre de liens trouvés lors de l’exploration et pointant vers un sous-domaine externe.
    Si vous sélectionnez un URL dans la fenêtre supérieure, vous pouvez en voir les détails (par ex. >la source du lien dans l’onglet InLinks De) des liens dans la fenêtre inférieure de Seo Spider.

Les filtres à votre disposition sont les mêmes que dans l’onglet Interne.

Onglet Extérieur de l'araignée Seo Screaming Frog

Onglet Sécurité

L’onglet “Sécurité” vous permet de consulter les données de sécurité des URL internes dans un crawl et comprend les données suivantes :

  • Adresse: l’URL scannée.
  • Contenu: représente le type de contenu de l’URL.
  • Code d’état: le code de réponse HTTP.
  • Statut: la réponse de l’en-tête HTTP.
  • Indexabilité: indique si l’URL est indexable ou non indexable.
  • Statut d’indexabilité: présente la raison pour laquelle une URL n’est pas indexable, par exemple, elle peut être “canonisée” vers une autre URL ou avoir la balise “no index”.
  • Canonical Link Element 1/2 etc: identifie toutes les instances trouvées par le Spider relatives aux données d’URL canoniques.
  • Meta Robots 1/2 etc: présente toutes les instances de meta robots trouvées dans l’URL.
  • X-Robots-Tag 1/2 etc – Données de marquage des robots.

Pour l’onglet sécurité, plusieurs filtres sont à votre disposition pour vous donner une vue très détaillée de tous les problèmes critiques :

  • URL HTTP: ce filtre vous permet d’isoler toutes les URL qui se présentent comme un protocole (HTTP) ou qui contiennent un contenu mixte dans lequel des ressources non sécurisées sont chargées. Chrome et d’autres navigateurs utilisent des messages tels que “Unsafe Content” (contenu dangereux) à côté du sous-domaine pour décourager la navigation vers des pages utilisant ce protocole.
    Si vous souhaitez vérifier quelles URL ont un “contenu mixte”, il vous suffit de consulter l’onglet “inlinks” dans la fenêtre inférieure de Seo Spider. Vous pouvez également exporter ces résultats à l’aide du rapport “HTTP URLs Inlinks”.

> > Bulk Export Security HTTP URLs Inlinks”.

  • URL HTTPS: comprend toutes les URL avec un protocole de confiance tel que HTTPS.
  • Contenu mixte: grâce à ce filtre, vous pourrez consulter toutes les pages HTML dotées du protocole HTTPS mais contenant des ressources telles que des images, du JavaScript ou du CSS dont le protocole HTTP n’est pas considéré comme sûr. Le contenu mixte affaiblit le protocole HTTPS en rendant les pages plus vulnérables et plus faciles à compromettre.
    Les ressources HTTP peuvent être visualisées pour chaque URL dans l’onglet “outlinks” et exportées avec les pages sources dans le rapport “Mixed Content”.

> > Sécurité des exportations en vrac Contenu mixte.

  • Form URL Insecure: le filtre affiche les pages HTML contenant un formulaire de contact dont l’attribut d’action est un lien non sécurisé (HTTP). Toutes les URL contenues dans les formulaires d’un site web doivent être cryptées et doivent donc être HTTPS. L’URL du formulaire HTTP peut être affichée en cliquant sur l’URL source dans la fenêtre supérieure, puis sur l’onglet “Détails de l’URL” dans l’écran inférieur. Ceux-ci peuvent être exportés avec les pages où ils se trouvent dans le rapport “Form URL Insecure”.

> > Sécurité des exportations en vrac Contenu mixte

> > L’URL du formulaire de sécurité de l’exportation en vrac n’est pas sécurisée

  • Formulaire sur l’URL HTTP: identifie les pages du protocole HTTP qui contiennent un formulaire et qui peuvent être bloquées par le navigateur. Toutes les données saisies dans le formulaire, y compris les noms d’utilisateur et les mots de passe, peuvent être interceptées et causer des dommages à l’internaute. Le formulaire peut être visualisé en cliquant sur l’URL dans la fenêtre supérieure, puis sur l’onglet “Détails de l’URL” dans la fenêtre inférieure, qui affiche les détails du formulaire sur l’URL HTTP.
  • Liens transversaux dangereux: toutes les pages qui renvoient à des sites externes à l’aide de l’attribut target=”_blank” (pour ouvrir une page dans un nouvel onglet) sont affichées, sans utiliser en même temps rel=”noopener” (ou rel=”noreferrer”). L’utilisation de target=”_blank” expose les pages à des problèmes de sécurité et de performance. Idéalement, rel=”noopener” devrait être utilisé sur tous les liens contenant l’attribut target=”_blank” afin d’éviter le “tabnabbing inversé”.

> > Sécurité des exportations en vrac Contenu mixte

APPROFONDISSEMENT :

Tabnabbing inversé: situation dans laquelle la page ouverte via l’attribut “target=”_blank” peut prendre le contrôle de la page source en utilisant “window.opener.location.assign()” pour remplacer l’onglet en arrière-plan par des documents malveillants. Grâce à rel= ‘noopener’, l’utilisateur malveillant ne pourra pas accéder à l’objet fenêtre via window.opener.

L’utilisation de l’attribut “noopener” n’a pas d’incidence sur le référencement, mais préserve la sécurité et les performances en empêchant les processus de la page cible d’être exécutés dans le même fil d’exécution que la page source. Certains doutes subsistent quant à l’utilisation de l’attribut “noreferrer”, qui supprime les données de référence du clic au niveau du navigateur et ne permet pas au propriétaire du site lié et ouvert par le clic d’en connaître l’origine. Dans le cas de Google Analytics, l’attribut “noreferrer” modifie la “source de trafic” de “référent” à “direct”, ce qui modifie les statistiques de trafic. En supposant que l’insertion d’un lien externe soit prévue, nous ne considérons pas l’attribut comme indispensable.

Les liens externes contenant l’attribut target=”_blank” peuvent être affichés dans l’onglet “outlinks” et dans la colonne “target”. Ils peuvent être exportés avec les pages sources du rapport “Unsafe Cross-Origin Links”.

> > Sécurité des exportations en vrac Contenu mixte

>> Exportation en bloc de liens croisés non sécurisés

  • Liens de ressources relatifs au protocole: ce filtre vous montre toutes les pages qui chargent des ressources telles que des images, JavaScript et CSS en utilisant des liens relatifs sans spécifier le protocole (par exemple, ‘//screamingfrog.co.uk’).

Cette situation est très courante et adoptée par les développeurs pour gagner du temps en laissant le navigateur spécifier le protocole. Toutefois, cette habitude peut exposer certains sites à des compromis et peut entraîner des problèmes de performance.

Les liens de ressources liés au protocole peuvent être affichés pour chaque URL en cliquant sur l’onglet “outlinks” et en affichant la colonne “Path Type” pour “Protocol Relative”. Ils peuvent être exportés avec les pages sources du rapport Liens de ressources relatives au protocole.

> > Sécurité des exportations en vrac Contenu mixte

> > Protocole de sécurité pour l’exportation en vrac – Liens vers des ressources apparentées

  • En-tête HSTS manquant: identifie toutes les URL pour lesquelles l’en-tête de réponse HSTS est manquant. La réponse HTTP Strict-Transport-Security (HSTS) indique aux navigateurs qu’ils ne doivent être accédés que par HTTPS, plutôt que par HTTP. Si un site web accepte une connexion HTTP avant d’être redirigé vers HTTPS, les visiteurs continueront dans un premier temps à communiquer via HTTP. L’en-tête HSTS indique au navigateur de ne jamais effectuer de chargement via HTTP et de convertir automatiquement toutes les requêtes en HTTPS. Le Seo Spider lui-même suivra les instructions de l’en-tête HSTS, mais signalera tous les liens rencontrés sur les URL HTTP avec un code de statut 307 et le statut de la “politique HSTS”.
  • Missing Content-Security-Policy-Header: identifie toute URL à laquelle il manque l’en-tête de réponse Content-Security-Policy. Cet en-tête permet à un site web de contrôler quelles ressources sont chargées pour une page. Cette politique peut contribuer à la protection contre les attaques de type cross-site scripting (XSS) qui exploitent la confiance du navigateur dans le contenu reçu du serveur. Le Seo Spider vérifie uniquement l’existence de l’en-tête et n’interroge pas les directives qu’il contient pour déterminer si elles sont bien configurées pour le site web. Cette opération doit être effectuée manuellement.
  • Mauvais type de contenu: affiche toute URL dont le type de contenu réel ne correspond pas au type de contenu défini dans l’en-tête. Il identifie également tout type MIME utilisé mais non valide.

> > Sécurité des exportations en vrac Contenu mixte

Onglet Sécurité Vidéo

Seo Spider Tab