Thales (Juste Gnimavo) THALES AND HIS AI CTO CLAUDE
FR
Back to flin
flin

Limitation de débit et en-têtes de sécurité

Comment FLIN fournit une limitation de débit intégrée avec fenêtres glissantes et des en-têtes de sécurité automatiques sur chaque réponse -- protégeant les applications contre l'abus, le XSS, le clickjacking et le reniflage MIME par défaut.

Juste A. Gnimavo (Thales) & Claude | March 26, 2026 1 min flin
EN/ FR/ ES
flinrate-limitingheaderssecurity

Deux fonctionnalités de sécurité dont chaque application web a besoin et que la plupart des développeurs oublient d'ajouter : la limitation de débit pour empêcher l'abus, et les en-têtes de sécurité pour empêcher les attaques côté client. FLIN intègre les deux dans le runtime.

Limitation de débit

flinguard rate_limit(5, 60)    // 5 requêtes par 60 secondes

L'algorithme de fenêtre glissante est plus précis que les fenêtres fixes. En-têtes de réponse standard (X-RateLimit-Limit, X-RateLimit-Remaining, Retry-After) inclus automatiquement.

En-têtes de sécurité automatiques

Chaque réponse HTTP en mode production inclut :

httpX-Frame-Options: DENY
X-Content-Type-Options: nosniff
X-XSS-Protection: 1; mode=block
Referrer-Policy: strict-origin-when-cross-origin
Strict-Transport-Security: max-age=31536000; includeSubDomains; preload
Content-Security-Policy: default-src 'self'; script-src 'self'; style-src 'self' 'unsafe-inline'
Permissions-Policy: camera=(), microphone=(), geolocation=()

Ces en-têtes ne sont pas optionnels. Ils ne sont pas du middleware que vous pourriez oublier d'ajouter. Ils font partie de chaque réponse qui quitte le serveur.

Ceci est la partie 109 de la série "How We Built FLIN".

Navigation de la série : - [108] JWT Authentication in 3 Lines of FLIN - [109] Rate Limiting and Security Headers (vous êtes ici) - [110] Two-Factor Authentication (TOTP) - [111] OAuth2 and Social Authentication

Share this article:
X / Twitter LinkedIn WhatsApp

Responses

Write a response
0/2000
Loading responses...

Related Articles

Thales & Claude deblo

Le Step Zero ne suffisait pas : comment valider un constructeur sans valider le runtime a fait tomber toutes les sessions vocales de Déblo l’heure où nous avons livré le streaming caméra temps réel

La phase 14 a livré Déblo Eyes — streaming caméra temps réel via LiveKit vers Gemini Live native audio. Le premier deploy a fait tomber toutes les sessions vocales en production en quatre-vingt-dix secondes parce que notre Step 0 avait validé le constructeur sans exercer le runtime. Le build log de comment Déblo a eu des yeux, ce qu’un pré-vol incomplet a coûté, et quels points de polish ont été livrés ou reportés.

33 min May 20, 2026
debloclaude-opus-4.7claude-codegemini-live +25
Thales & Claude deblo

Le tiret cadratin qui a tué la production : comment un slogan marketing dans un header HTTP a fait tomber le chat de Déblo pendant 24 heures

Deux jours avant la soumission App Store, tout le produit chat de Déblo s’est cassé silencieusement. Pas de spinner, pas de toast, aucune erreur dans l’UI — juste un silence radio. L’incident de 24 heures se résumait à un seul « é » dans la valeur d’un header HTTP qui levait une UnicodeEncodeError avant qu’aucune requête vers OpenRouter ne quitte le backend. Post-mortem d’une fausse hypothèse, d’une trace Sentry, et d’un fix de six lignes qui a débloqué le lancement.

30 min May 19, 2026
debloclaude-opus-4.7claude-codeincident +19
Thales & Claude deblo

Six heures, d’une page blanche à la review Apple — Comment nous avons soumis Déblo à l’App Store, en direct

Marche à marche en direct de la soumission de Déblo à l’App Store iOS en six heures : ce que les validateurs d’Apple ont rejeté (un superscript Unicode), ce que nous avons corrigé (un Promotional Text gaspillé sur des marques tierces), et les rouages de l’ASO iOS que presque tout le monde rate.

30 min May 13, 2026
debloclaude-opus-4.7claude-codeapp-store +16