보안 헤더

보안 헤더는 무엇입니까?

필수 보안 헤더

Strict-Transport-Security (HSTS)에 관하여

힘 HTTPS 연결:

Strict-Transport-Security: max-age=31536000; includeSubDomains; preload

• 프로토콜 downgrade 공격 방지
• 블록 혼합 콘텐츠
• SSL 스트립에 대한 보호

콘텐츠 보안 정책 (CSP)

통제 자원 선적:

Content-Security-Policy: default-src 'self'; script-src 'self' trusted.com; style-src 'self' 'unsafe-inline'

• XSS 공격 방지
• 스크립트 소스 제어
• 블록 권한

X-Frame-Options의 옵션

clickjacking 방지:

X-Frame-Options: DENY
X-Frame-Options: SAMEORIGIN

• Blocks 사이트
• UI 저장소에 대한 보호

X-Content-Type-옵션

MIME 침전 방지:

X-Content-Type-Options: nosniff

• 포스 브라우저를 존중하는 Content-Type
• misinterpreted 파일을 통해 스크립트 주입 방지

추가 보안 헤더

구현 예제

Nginx 구성

add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
add_header X-Frame-Options "SAMEORIGIN" always;
add_header X-Content-Type-Options "nosniff" always;
add_header Content-Security-Policy "default-src 'self'" always;

아파치 구성

Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains"
Header always set X-Frame-Options "SAMEORIGIN"
Header always set X-Content-Type-Options "nosniff"

보안 헤더 및 도메인 건강

왜 도메인에 대한 헤더 매트

• 사용자의 도메인을 방문
• 도메인 명성 손상 방지
• 준수 요건 충족
• 일반적인 공격에 대한 방어

테스트 보안 헤더

구현을 확인하는 도구 :

• securityheaders.com의
• 모질라 전망대
• SSL 연구소
• Chrome DevTools 네트워크 탭

최고의 연습

1. HSTS로 시작 : HTTPS 집행에 대한 필수

2. 임상 CSP가 점차 : 보고서 전용 모드로 시작

3. 시험은 완전히 : Headers는 기능을 끊을 수 있습니다

4. 사전 로드 목록 사용 : 본문 바로가기

5. Monitor 위반 : CSP 보고 endpoints 사용

6. Regular 감사: 보안 요구 사항 진화

일반 등급 Criteria

보안 헤더는 서버 측 보안 대책을 보완하는 브라우저 강화 보호 기능을 제공하는 웹 애플리케이션 보안의 중요한 계층을 나타냅니다.