HTTP 403

Le code erreur 403 est un code d'état HTTP signifiant que l'accès à la ressource demandée est interdit. Le serveur a compris la demande, mais ne la satisfera pas.

Capture d’écran de l’erreur 403, telle que rendue par Apache et nginx dans un navigateur

Caractéristiques

HTTP 403 fournit un cas d'erreur distinct de HTTP 401 ; tandis que HTTP 401 est renvoyé lorsque le client ne s'est pas authentifié et implique qu'une réponse réussie peut être renvoyée après une authentification valide, HTTP 403 est renvoyé lorsque le client n'est pas autorisé à accéder à la ressource malgré une authentification, telle que des autorisations insuffisantes du compte authentifié.

Erreur 403 : « Le serveur a compris la demande, mais refuse de l'autoriser. » (RFC 7231^[1]).

L'erreur 401 : « La demande nécessite une authentification de l'utilisateur. La réponse DOIT inclure un champ d'en-tête WWW-Authenticate (section 14.47) contenant un défi applicable à la ressource demandée. Le client PEUT répéter la demande avec un champ d'en-tête d'autorisation approprié (section 14.8). Si la demande comprenait déjà des informations d'identification d'autorisation, la réponse 401 indique que l'autorisation a été refusée pour ces informations d'identification. » (RFC 2616^[2]).

Le serveur Web Apache renvoie 403 Forbidden en réponse aux demandes de chemins d'URL^[3] qui correspondent aux répertoires du système de fichiers lorsque les listes de répertoires ont été désactivées sur le serveur et qu'il n'y a pas de directive d'index de répertoire pour spécifier un fichier existant à renvoyer au navigateur. Certains administrateurs configurent l'extension de proxy Mod sur Apache pour bloquer de telles demandes et cela renverra également 403 Forbidden. Microsoft IIS répond de la même manière lorsque les listes de répertoires sont refusées sur ce serveur. Dans WebDAV, la réponse 403 Forbidden sera renvoyée par le serveur si le client a émis une demande PROPFIND mais n'a pas également émis l'en-tête Depth requis ou a émis un en-tête Depth de l'infini^[3].

Les codes non-standard suivants sont renvoyés par les services d'information Internet de Microsoft et ne sont pas officiellement reconnus par l'IANA.

Codes non-standard renvoyés par les services d'information Internet

2024code d'erreur	signification
403.1	Exécuter l'accès interdit
403.2	Accès en lecture interdit
403.3	Accès en écriture interdit
403.4	SSL requis
403.5	SSL 128 requis
403.6	Adresse IP rejetée
403.7	Certificat client requis
403.8	Accès au site refusé
403.9	Trop d'utilisateurs
403.10	Configuration invalide
403.11	Changement de mot de passe
403.12	Mappeur refusé l'accès
403.13	Certificat client révoqué
403.14	Inscription à l'annuaire refusée
403.15	Licences d'accès client dépassées
403.16	Le certificat client n'est pas fiable ou n'est pas valide
403.17	Le certificat client a expiré ou n'est pas encore valide
403.18	Impossible d'exécuter la demande à partir de ce pool d'applications
403.19	Impossible d'exécuter les CGI pour le client dans ce pool d'applications
403.20	Échec de la connexion au passeport
403.21	Accès à la source refusé
403.22	La profondeur infinie est refusée
403.502	Trop de requêtes provenant de la même adresse IP client ; Limite de restriction d'adresse IP dynamique atteinte
403.503	Rejeté en raison d'une restriction d'adresse IP