가장 중요한 보안 헤더는 무엇인가요?

우선순위: 1) Content-Security-Policy(XSS 방지), 2) Strict-Transport-Security(HTTPS 강제), 3) X-Content-Type-Options(MIME 스니핑 방지), 4) X-Frame-Options(클릭재킹 방지). 이 네 가지를 먼저 설정하세요.

HSTS preload란 무엇인가요?

HSTS preload list는 브라우저에 하드코딩된 HTTPS 전용 도메인 목록입니다. 등록되면 첫 방문부터 HTTPS가 강제되어, 첫 번째 HTTP 요청도 차단합니다. hstspreload.org에서 등록할 수 있으며, 제거가 어려우니 신중하게 결정하세요.

X-Frame-Options와 CSP frame-ancestors의 차이점은 무엇인가요?

X-Frame-Options는 DENY/SAMEORIGIN 두 옵션만 지원합니다. CSP frame-ancestors는 특정 도메인을 허용하는 세밀한 제어가 가능합니다. 둘 다 클릭재킹을 방지하며, frame-ancestors가 더 유연합니다. 둘 다 설정하면 호환성이 좋습니다.

보안 헤더를 어디서 설정하나요?

웹 서버(Nginx, Apache), CDN(Cloudflare, AWS CloudFront), 애플리케이션 프레임워크(Next.js headers, Express helmet)에서 설정합니다. CDN 수준에서 설정하면 모든 응답에 일괄 적용되어 관리가 편리합니다.

보안 헤더만으로 사이트가 안전해지나요?

아닙니다. 보안 헤더는 방어의 한 레이어일 뿐입니다. 입력 검증, 인증/인가, SQL 인젝션 방지, 의존성 보안 업데이트 등 다층적 보안이 필요합니다. 보안 헤더는 브라우저 측 보호를 강화하는 추가 방어선입니다.

Claude/Cursor에서 이 도구를 어떻게 사용하나요?

AI 에이전트 설정에 'npx -y @toolypet/mcp-server@latest'로 Toolypet MCP 서버를 추가하세요. 그런 다음 AI에게 security_header_checker 도구를 headers 파라미터와 함께 사용하도록 요청하세요.

MCP란 무엇이며 Toolypet은 왜 지원하나요?

MCP(Model Context Protocol)는 Claude나 Cursor 같은 AI 에이전트가 외부 도구를 사용할 수 있게 하는 개방형 표준입니다. Toolypet은 MCP를 지원하여 65개 이상의 모든 도구를 브라우저와 AI 에이전트 모두에서 사용할 수 있게 하며, 계산과 작업을 AI 워크플로우에 원활하게 통합합니다.

보안 헤더 검사기 | Toolypet

무료 온라인 보안 헤더 검사기. HTTP 보안 헤더를 분석하고 개선 사항을 확인하세요. MCP 지원.

이것은 무엇인가요?

웹사이트의 HTTP 보안 헤더를 검사하고 평가하는 도구입니다. CSP, HSTS, X-Frame-Options, X-Content-Type-Options 등 주요 보안 헤더의 존재 여부와 설정을 분석하여 보안 등급과 개선 권장 사항을 제공합니다.

입력

일반 보안 헤더

헤더

미리보기

분석할 보안 헤더를 입력하세요

사용 방법

검사할 URL을 입력하거나 HTTP 응답 헤더를 직접 붙여넣으세요. 도구가 각 보안 헤더를 분석하여 등급(A+~F)을 매기고, 누락된 헤더와 잘못된 설정을 식별합니다. 각 헤더에 대한 권장 값과 설정 방법을 확인하세요.

심층 분석

HTTP 보안 헤더는 브라우저의 보안 기능을 활성화하여 다양한 공격을 방어합니다. 핵심 헤더: Strict-Transport-Security(HSTS): HTTPS 전용 연결을 강제합니다. 'max-age=31536000; includeSubDomains; preload'가 권장 설정입니다. HSTS Preload List에 등록하면 첫 방문부터 HTTPS가 강제됩니다. X-Content-Type-Options: nosniff: 브라우저의 MIME 타입 스니핑을 방지합니다. 공격자가 악성 JavaScript를 이미지로 위장하여 업로드해도 스크립트로 실행되지 않습니다. X-Frame-Options: 클릭재킹 공격을 방지합니다. DENY(모든 프레임 차단) 또는 SAMEORIGIN(같은 출처만 허용)을 설정하세요. CSP의 frame-ancestors가 더 유연한 대체 수단입니다. Permissions-Policy(구 Feature-Policy): 카메라, 마이크, 위치 정보 등 브라우저 API 접근을 제어합니다. 사용하지 않는 기능을 명시적으로 비활성화하여 악성 서드파티 스크립트의 접근을 차단합니다. Referrer-Policy: 리퍼러 헤더에 포함되는 정보를 제어합니다. 'strict-origin-when-cross-origin'이 기본 권장 값으로, 같은 출처에서는 전체 URL을, 교차 출처에서는 출처만 전송합니다.

예시

보안 감사: 프로덕션 사이트의 보안 헤더 전수 검사
배포 전 확인: 새 서비스 배포 전 보안 헤더 설정 검증
규정 준수: PCI-DSS, HIPAA 등 보안 요구사항에 필요한 헤더 확인
비교 분석: 경쟁사 사이트와의 보안 헤더 비교
서버 설정 변경 전후의 보안 헤더 적용 범위 비교

Toolypet MCP 서버 설치

하나의 명령어로 AI 에이전트에 Toolypet 도구를 추가하세요. Claude Desktop, Claude Code, Cursor 및 모든 MCP 호환 클라이언트에서 사용 가능합니다.

빠른 시작

npx -y @toolypet/mcp-server@latest

MCP 클라이언트 설정

{
  "mcpServers": {
    "toolypet": {
      "command": "npx",
      "args": [
        "-y",
        "@toolypet/mcp-server@latest"
      ]
    }
  }
}

도구 이름:mcp__toolypet__security_header_checker

프롬프트 예시

Check security headers: X-Frame-Options DENY, Strict-Transport-Security max-age=31536000

입력 예시

{
  "headers": {
    "X-Frame-Options": "DENY",
    "Strict-Transport-Security": "max-age=31536000; includeSubDomains",
    "X-Content-Type-Options": "nosniff"
  }
}

출력 예시

{
  "score": 75,
  "grade": "B",
  "present": [
    "X-Frame-Options",
    "Strict-Transport-Security",
    "X-Content-Type-Options"
  ],
  "missing": [
    "Content-Security-Policy",
    "Referrer-Policy",
    "Permissions-Policy"
  ],
  "recommendations": [
    "Add Content-Security-Policy header",
    "Add Referrer-Policy header"
  ]
}

자주 묻는 질문

가장 중요한 보안 헤더는 무엇인가요?: 우선순위: 1) Content-Security-Policy(XSS 방지), 2) Strict-Transport-Security(HTTPS 강제), 3) X-Content-Type-Options(MIME 스니핑 방지), 4) X-Frame-Options(클릭재킹 방지). 이 네 가지를 먼저 설정하세요.
HSTS preload란 무엇인가요?: HSTS preload list는 브라우저에 하드코딩된 HTTPS 전용 도메인 목록입니다. 등록되면 첫 방문부터 HTTPS가 강제되어, 첫 번째 HTTP 요청도 차단합니다. hstspreload.org에서 등록할 수 있으며, 제거가 어려우니 신중하게 결정하세요.
X-Frame-Options와 CSP frame-ancestors의 차이점은 무엇인가요?: X-Frame-Options는 DENY/SAMEORIGIN 두 옵션만 지원합니다. CSP frame-ancestors는 특정 도메인을 허용하는 세밀한 제어가 가능합니다. 둘 다 클릭재킹을 방지하며, frame-ancestors가 더 유연합니다. 둘 다 설정하면 호환성이 좋습니다.
보안 헤더를 어디서 설정하나요?: 웹 서버(Nginx, Apache), CDN(Cloudflare, AWS CloudFront), 애플리케이션 프레임워크(Next.js headers, Express helmet)에서 설정합니다. CDN 수준에서 설정하면 모든 응답에 일괄 적용되어 관리가 편리합니다.
보안 헤더만으로 사이트가 안전해지나요?: 아닙니다. 보안 헤더는 방어의 한 레이어일 뿐입니다. 입력 검증, 인증/인가, SQL 인젝션 방지, 의존성 보안 업데이트 등 다층적 보안이 필요합니다. 보안 헤더는 브라우저 측 보호를 강화하는 추가 방어선입니다.
Claude/Cursor에서 이 도구를 어떻게 사용하나요?: AI 에이전트 설정에 'npx -y @toolypet/mcp-server@latest'로 Toolypet MCP 서버를 추가하세요. 그런 다음 AI에게 security_header_checker 도구를 headers 파라미터와 함께 사용하도록 요청하세요.
MCP란 무엇이며 Toolypet은 왜 지원하나요?: MCP(Model Context Protocol)는 Claude나 Cursor 같은 AI 에이전트가 외부 도구를 사용할 수 있게 하는 개방형 표준입니다. Toolypet은 MCP를 지원하여 65개 이상의 모든 도구를 브라우저와 AI 에이전트 모두에서 사용할 수 있게 하며, 계산과 작업을 AI 워크플로우에 원활하게 통합합니다.