Sécuriser une app Laravel en production
Checklist de sécurité pour une application Laravel avant la mise en prod.
Les bases
APP_DEBUG=falseAPP_ENV=production- Clé APP_KEY unique et secrète
- HTTPS forcé partout
Authentification
- Bcrypt ou Argon2 pour les mots de passe
- Rate limiting sur le login
- 2FA si possible
Headers de sécurité
// middleware
$response->headers->set('X-Content-Type-Options', 'nosniff');
$response->headers->set('X-Frame-Options', 'DENY');
Conclusion
La sécurité n'est pas un feature, c'est un prérequis.