{"id":38799,"date":"2020-05-13T00:24:52","date_gmt":"2020-05-13T07:24:52","guid":{"rendered":"https:\/\/kinsta.com\/?post_type=knowledgebase&p=71506"},"modified":"2025-10-01T20:50:02","modified_gmt":"2025-10-01T19:50:02","slug":"redirection-307","status":"publish","type":"post","link":"https:\/\/kinsta.com\/fr\/blog\/redirection-307\/","title":{"rendered":"Comprendre en profondeur le code de statut HTTP 307 Temporary Redirect"},"content":{"rendered":"

Le protocole HTTP d\u00e9finit plus de 40 codes de statut de serveur<\/a>, dont 9 sont explicitement destin\u00e9s aux redirections d’URL. Chaque code de statut de redirection commence par le chiffre 3 (HTTP 3xx) et poss\u00e8de sa propre m\u00e9thode de traitement des redirections. Si certains sont similaires, tous s’occupent des redirections de mani\u00e8re diff\u00e9rente.<\/p>\n

Il est essentiel de comprendre le fonctionnement de chaque code de statut de redirection HTTP pour diagnostiquer ou corriger les erreurs de configuration du site web.<\/p>\n

Dans ce guide, nous traiterons en profondeur les codes de statut HTTP 307 Redirection Temporaire<\/strong> (Temporary Redirect) et 307 Redirection Interne<\/strong> (Internal Redirect), y compris leur signification et la fa\u00e7on dont ils diff\u00e8rent des autres codes de statut de redirection 3xx.<\/p>\n

Commen\u00e7ons !<\/p>\n

<\/div><\/kinsta-auto-toc>\n

Comment fonctionnent les redirection HTTP 3xx<\/h2>\n

Avant de nous plonger dans les r\u00e9ponses 307 Temporary Redirect et 307 Internal Redirect, comprenons comment fonctionne la redirection HTTP.<\/p>\n

Les codes de statut HTTP<\/a> sont des r\u00e9ponses du serveur au navigateur. Chaque code de statut est un nombre \u00e0 trois chiffres, et le premier chiffre d\u00e9finit le type de r\u00e9ponse dont il s’agit. Les codes de statut HTTP 3xx<\/strong> impliquent une redirection. Ils commandent au navigateur de rediriger vers une nouvelle URL, qui est d\u00e9finie dans l’en-t\u00eate Location<\/strong> de la r\u00e9ponse du serveur.<\/p>\n

\"Les
Les redirections HTTP 3xx au travail<\/figcaption><\/figure>\n

Lorsque votre navigateur rencontre une requ\u00eate de redirection du serveur, il doit comprendre la nature de cette requ\u00eate. Les diff\u00e9rents codes de statut de redirection HTTP 3xx traitent ces requ\u00eates. Les conna\u00eetre tous nous aidera \u00e0 mieux comprendre les codes de redirection 307 Temporary Redirect et 307 Internal Redirect.<\/p>\n

Les diff\u00e9rentes redirections HTTP 3xx<\/h2>\n

Il existe plusieurs types de codes de statut de redirection HTTP 3xx<\/a>. La sp\u00e9cification HTTP originale n’incluait pas les codes 307 Redirection Temporaire et 308 Redirection Permanente, car ces r\u00f4les \u00e9taient cens\u00e9s \u00eatre remplis par 301 D\u00e9plac\u00e9 D\u00e9finitivement (Moved Permanently) et 302 Trouv\u00e9 (Found).<\/p>\n

Cependant, la plupart des clients ont chang\u00e9 la m\u00e9thode de requ\u00eate HTTP<\/a> de POST \u00e0 GET pour les r\u00e9ponses de redirection 301 et 302, bien que la sp\u00e9cification HTTP ne leur permette pas de le faire. Ce comportement a n\u00e9cessit\u00e9 l’introduction des codes de statut plus stricts 307 Temporary Redirect<\/strong>\u00a0et 308 Permanent Redirect<\/strong>\u00a0dans la mise \u00e0 jour HTTP\/1.1<\/a>.<\/p>\n

La r\u00e9ponse 307 Internal Redirect<\/strong> est une variante du code de statut 307 Temporary Redirect<\/strong>. Elle n’est pas d\u00e9finie par la norme HTTP et n’est qu’une impl\u00e9mentation locale du navigateur. Nous en parlerons plus en d\u00e9tail plus tard.<\/p>\n

Alors que les codes de statut de redirection comme 301 et 308 sont mis en cache par d\u00e9faut, d’autres comme 302 et 307 ne le sont pas. Cependant, vous pouvez rendre cachables toutes les r\u00e9ponses de redirection (ou non) en ajoutant un champ d’en-t\u00eate Cache-Control<\/strong> ou Expires response<\/strong>.<\/p>\n

\"Les
Les redirections HTTP ne sont pas si complexes<\/figcaption><\/figure>\n

Utilisation de 302 vs 303 vs 307 pour les redirections temporaires<\/h2>\n

Comme le montre le tableau ci-dessus, pour les redirections temporaires, vous avez trois options : 302, 303 ou 307. Cependant, la plupart des clients traitent le code de statut 302 comme une r\u00e9ponse 303 et changent la m\u00e9thode de requ\u00eate HTTP pour GET. Ce n’est pas id\u00e9al du point de vue de la s\u00e9curit\u00e9<\/a>.<\/p>\n

\u00ab\u00a0RFC 1945 et RFC 2068 pr\u00e9cisent que le client n’est pas autoris\u00e9 \u00e0 changer de m\u00e9thode sur la requ\u00eate redirig\u00e9e. Cependant, la plupart des impl\u00e9mentations existantes d’agents utilisateurs traitent la 302 comme s’il s’agissait d’une r\u00e9ponse 303, en effectuant un GET sur la valeur du champ Location, quelle que soit la m\u00e9thode de requ\u00eate originale. Les codes de statut 303 et 307 ont \u00e9t\u00e9 ajout\u00e9s pour les serveurs qui souhaitent indiquer clairement le type de r\u00e9action attendu du client. \u201d
\n–\u00a0 HTTP\/1.1. D\u00e9finitions des codes de statut, W3.org <\/a><\/p><\/blockquote>\n

Ainsi, pour les redirections temporaires o\u00f9 vous devez maintenir la m\u00e9thode de requ\u00eate HTTP, utilisez la r\u00e9ponse plus stricte 307 Temporary Redirect<\/strong>.<\/p>\n

Par exemple, en redirigeant \/register-form.html vers signup-form.html, ou de \/login.php vers \/signin.php.<\/p>\n

Pour les cas o\u00f9 vous devez modifier la m\u00e9thode de requ\u00eate de redirection vers GET, utilisez plut\u00f4t la r\u00e9ponse 303 See Other<\/strong> \u00e0 la place.<\/p>\n

Par exemple, rediriger une requ\u00eate POST de la page \/register.php pour charger une page \/success.html via une requ\u00eate GET.<\/p>\n

\u00c0 moins que votre public cible n’utilise des clients existants, \u00e9vitez d’utiliser la r\u00e9ponse de redirection 302 Found.<\/p>\n

Comprendre les 307 Internal Redirect pour les sites uniquement en HTTPS<\/h2>\n

Si vous avez un site exclusivement HTTPS<\/a> (ce que vous devriez faire<\/a>), lorsque vous essayez de le visiter de mani\u00e8re non s\u00e9curis\u00e9e via le site http:\/\/, votre navigateur redirigera automatiquement vers sa version s\u00e9curis\u00e9e https:\/\/. G\u00e9n\u00e9ralement, cela se produit avec une r\u00e9ponse de 301 Moved Permanently du serveur.<\/p>\n

Par exemple, si vous visitez https:\/\/citibank.com<\/a> et que vous chargez les Outils de d\u00e9veloppement<\/strong> dans Chrome et que vous s\u00e9lectionnez l’onglet R\u00e9seau<\/strong>, vous pouvez voir toutes les requ\u00eates effectu\u00e9es entre le navigateur et le serveur.<\/p>\n

La premi\u00e8re r\u00e9ponse est 301 Moved Permanently<\/strong>, qui redirige le navigateur vers la version HTTPS du site.<\/p>\n

\"La
La r\u00e9ponse 301 redirige vers la version HTTPS<\/figcaption><\/figure>\n

Si l’on creuse davantage les champs Headers<\/strong> de la premi\u00e8re requ\u00eate, on peut voir que l’en-t\u00eate de r\u00e9ponse Location<\/strong> d\u00e9finit l’URL s\u00e9curis\u00e9e pour la redirection.<\/p>\n

\"L'en-t\u00eate
L’en-t\u00eate de la r\u00e9ponse de localisation d\u00e9finit l’URL de redirection<\/figcaption><\/figure>\n

Le probl\u00e8me de cette approche est que des acteurs malveillants peuvent d\u00e9tourner la connexion r\u00e9seau pour rediriger le navigateur vers une URL personnalis\u00e9e. Les attaques de type Man-in-the-Middle (MITM)<\/a> sont assez courantes. Une s\u00e9rie t\u00e9l\u00e9vis\u00e9e populaire l’a m\u00eame usurp\u00e9e<\/a> dans un de ses \u00e9pisodes.<\/p>\n

De plus, une partie malveillante peut lancer une attaque MITM sans modifier l’URL affich\u00e9e dans la barre d’adresse du navigateur. Par exemple, l’utilisateur peut recevoir une page d\u2019hame\u00e7onnage (phishing) qui ressemble exactement au site d’origine.<\/p>\n

Et comme tout se ressemble, y compris l’URL dans la barre d’adresse, la plupart des utilisateurs seront heureux de taper leurs identifiants. Vous pouvez imaginer pourquoi cela peut \u00eatre mauvais.<\/p>\n

\"Les
Les redirections 301 vers le HTTPS ne sont pas s\u00e9curis\u00e9es<\/figcaption><\/figure>\n

Redirections s\u00e9curis\u00e9es avec 307 Internal Redirect<\/h3>\n

Maintenant, essayons le m\u00eame exemple avec Kinsta. La visite de https:\/\/kinsta.com<\/a> conduit \u00e0 des requ\u00eates de r\u00e9seau, comme le montre la capture d’\u00e9cran ci-dessous.<\/p>\n

\"Un
Un exemple de 307 Redirection Interne<\/figcaption><\/figure>\n

La premi\u00e8re requ\u00eate du site est comme l’exemple pr\u00e9c\u00e9dent, mais cette fois-ci, elle conduit \u00e0 une r\u00e9ponse 307 Internal Redirect<\/strong>. En cliquant dessus, vous aurez plus de d\u00e9tails sur cette r\u00e9ponse.<\/p>\n

Note : <\/strong>Si vous essayez de visiter le site directement avec https:\/\/<\/strong>, vous ne verrez pas cet en-t\u00eate car le navigateur n’a pas besoin d’effectuer de redirection.<\/p>\n

\"En-t\u00eates
En-t\u00eates de r\u00e9ponse de la r\u00e9ponse 307 Redirection Interne<\/figcaption><\/figure>\n

Notez l’en-t\u00eate de r\u00e9ponse Non-Authoritative-Reason : HSTS. Il s’agit de l’en-t\u00eate de r\u00e9ponse Strict Transport Security (HSTS)<\/a> de HTTP, \u00e9galement connu sous le nom de Strict-Transport-Security.<\/p>\n

Qu’est-ce que le HSTS (Strict Transport Security) ?<\/h3>\n

L’IETF a ratifi\u00e9 le HTTP Strict Transport Security (HSTS) en 2012<\/a> pour forcer les navigateurs \u00e0 utiliser des connexions s\u00e9curis\u00e9es lorsqu’un site fonctionne strictement en HTTPS.<\/p>\n

C’est un peu comme si Chrome ou Firefox disaient : \u00ab\u00a0Je n’essaierai m\u00eame pas de demander ce site ou l’une de ses ressources par le biais du protocole HTTP non s\u00e9curis\u00e9. Je vais plut\u00f4t le changer en HTTPS et r\u00e9essayer\u00a0\u00bb.<\/p>\n

Vous pouvez suivre le guide de Kinsta sur la fa\u00e7on d’activer le HSTS<\/a> pour qu’il soit op\u00e9rationnel sur votre site WordPress.<\/p>\n

\"Une
Une meilleure s\u00e9curit\u00e9 avec la r\u00e9ponse 307 Internal Redirect<\/figcaption><\/figure>\n

En approfondissant l’en-t\u00eate de la r\u00e9ponse \u00e0 la deuxi\u00e8me requ\u00eate, nous pourrons mieux comprendre.<\/p>\n

\"V\u00e9rification
V\u00e9rification de l’en-t\u00eate de r\u00e9ponse HSTS<\/figcaption><\/figure>\n

Ici, vous pouvez voir l’en-t\u00eate de r\u00e9ponse strict-transport-security : max age=315536000.<\/p>\n

L’attribut max-age<\/strong> de l’en-t\u00eate de r\u00e9ponse strict-transport-security<\/strong> d\u00e9finit la dur\u00e9e pendant laquelle le navigateur doit suivre ce mod\u00e8le. Dans l’exemple ci-dessus, cette valeur est fix\u00e9e \u00e0 3153600 secondes (ou 1 an).<\/p>\n

Une fois qu’un site renvoie cet en-t\u00eate de r\u00e9ponse, le navigateur n’essaie m\u00eame pas de faire une requ\u00eate HTTP ordinaire. Il effectue plut\u00f4t une 307 Internal Redirect<\/strong> vers HTTPS et r\u00e9essaye.<\/p>\n

Chaque fois que ce processus se r\u00e9p\u00e8te, les en-t\u00eates de r\u00e9ponse sont r\u00e9initialis\u00e9s. Ainsi, le navigateur ne pourra pas faire de requ\u00eate non s\u00e9curis\u00e9e pendant une p\u00e9riode ind\u00e9termin\u00e9e.<\/p>\n

Si vous h\u00e9bergez votre site chez Kinsta, vous pouvez cr\u00e9er un ticket de support<\/a> pour que l’en-t\u00eate HSTS soit ajout\u00e9 \u00e0 votre site WordPress. Comme l’ajout de l’en-t\u00eate HSTS permet de b\u00e9n\u00e9ficier d’avantages en termes de performances, il est recommand\u00e9 d’activer HSTS pour votre site.<\/p>\n

Qu’est-ce qu’une liste de pr\u00e9chargement HSTS ?<\/h3>\n

Il y a un probl\u00e8me de s\u00e9curit\u00e9 flagrant m\u00eame avec le HSTS. La toute premi\u00e8re requ\u00eate HTTP que vous envoyez avec le navigateur n’est pas s\u00e9curis\u00e9e, r\u00e9p\u00e9tant ainsi le probl\u00e8me que nous avons observ\u00e9 pr\u00e9c\u00e9demment avec Citibank.<\/p>\n

En outre, l’en-t\u00eate de r\u00e9ponse HSTS ne peut \u00eatre envoy\u00e9 que par HTTPS, de sorte que la requ\u00eate initiale non s\u00e9curis\u00e9e ne peut m\u00eame pas \u00eatre renvoy\u00e9e.<\/p>\n

Pour r\u00e9soudre ce probl\u00e8me, HSTS prend en charge un attribut de pr\u00e9chargement dans son en-t\u00eate de r\u00e9ponse. L’id\u00e9e est d’avoir une liste de sites qui appliquent HSTS \u00e0 pr\u00e9charger dans le navigateur lui-m\u00eame, en contournant compl\u00e8tement ce probl\u00e8me de s\u00e9curit\u00e9.<\/p>\n

L’ajout de votre site \u00e0 la liste de pr\u00e9chargement HSTS du navigateur lui permettra de savoir que votre site applique une politique stricte en mati\u00e8re de HSTS, m\u00eame s’il visite votre site pour la premi\u00e8re fois. Le navigateur utilisera alors la r\u00e9ponse 307 Internal Redirect<\/strong> pour rediriger votre site vers son sch\u00e9ma s\u00e9curis\u00e9 https:\/\/ avant de demander autre chose.<\/p>\n

Vous devez noter que contrairement \u00e0 la r\u00e9ponse 307 Temporary Redirect<\/strong>, la r\u00e9ponse 307 Internal Redirect<\/strong> est un \u00ab\u00a0faux en-t\u00eate\u00a0\u00bb d\u00e9fini par le navigateur lui-m\u00eame. Elle ne provient pas du serveur, de l’h\u00e9bergeur web (par exemple Kinsta), ou du CMS (par exemple WordPress).<\/p>\n

L’ajout d’un site \u00e0 une liste de pr\u00e9chargement HSTS pr\u00e9sente de nombreux avantages :<\/p>\n

    \n
  1. Le serveur web ne voit jamais les requ\u00eates HTTP non s\u00e9curis\u00e9es. Cela r\u00e9duit la charge du serveur et rend le site plus s\u00fbr.<\/li>\n
  2. Le navigateur se charge de la redirection du HTTP vers le HTTPS<\/a>, ce qui rend le site plus rapide et plus s\u00fbr.<\/li>\n<\/ol>\n

    Exigences relatives \u00e0 la liste de pr\u00e9chargement HSTS<\/h3>\n

    Si vous souhaitez ajouter votre site \u00e0 la liste de pr\u00e9chargement HSTS d’un navigateur, celui-ci doit cocher les conditions suivantes :<\/p>\n