보안 도구/보안 헤더
보안 헤더
웹 서버용 HTTP 보안 헤더 생성
프리셋
보안 헤더
Forces HTTPS connections for secure communication
Prevents clickjacking attacks by controlling iframe embedding
Prevents MIME type sniffing attacks
Legacy XSS filter (deprecated, use CSP instead)
Controls how much referrer information is sent
Controls browser features and APIs
Prevents loading cross-origin resources without permission
Isolates browsing context from cross-origin documents
Protects resources from being loaded by other origins
생성된 출력
Strict-Transport-Security: max-age=31536000; includeSubDomains; preload X-Frame-Options: DENY X-Content-Type-Options: nosniff Referrer-Policy: strict-origin-when-cross-origin Permissions-Policy: geolocation=(), microphone=(), camera=()
5개 헤더 활성화됨
구현 참고사항
이 헤더를 웹 서버 설정에 추가하세요. Nginx의 경우 server 블록에, Apache의 경우 .htaccess 또는 httpd.conf에 추가합니다. 프로덕션 배포 전에 충분히 테스트하세요.
보안 헤더 가이드
HTTP 보안 헤더로 웹 애플리케이션을 보호하는 방법 알아보기
보안 헤더란?
HTTP 보안 헤더는 웹 서버가 브라우저에 보내는 지시문으로, 일반적인 웹 취약점으로부터 보호합니다. 브라우저가 사이트의 콘텐츠를 처리하는 방식을 제어하여 XSS, 클릭재킹, 데이터 삽입 공격을 방지합니다.
사용 방법
- 보안 요구 사항에 따라 프리셋(기본, 권장, 엄격) 선택
- 개별 헤더를 켜고/끄고 값을 사용자 정의
- 출력 형식(원본, Nginx, Apache) 선택
- 생성된 설정을 복사하여 웹 서버에 추가
모범 사례
자주 묻는 질문
가장 중요한 헤더는 무엇인가요?
필수 헤더는 HTTPS를 강제하는 Strict-Transport-Security(HSTS), MIME 스니핑을 방지하는 X-Content-Type-Options, 클릭재킹을 방지하는 X-Frame-Options 또는 CSP frame-ancestors입니다. 이 세 가지는 호환성 문제를 최소화하면서 일반적인 공격에 대한 상당한 보호를 제공합니다.
이 헤더가 웹사이트를 망가뜨리나요?
HSTS, X-Content-Type-Options, Referrer-Policy와 같은 대부분의 헤더는 안전하며 기능을 손상시키지 않습니다. 그러나 엄격한 COOP/COEP 설정은 교차 출처 리소스에 영향을 줄 수 있습니다. 특히 사이트가 서드파티 스크립트, iframe 또는 교차 출처 API를 사용하는 경우 항상 스테이징 환경에서 먼저 테스트하세요.
X-Frame-Options와 CSP frame-ancestors의 차이점은?
둘 다 클릭재킹을 방지하지만 CSP frame-ancestors가 더 유연하고 현대적입니다. X-Frame-Options는 DENY 또는 SAMEORIGIN만 지원하는 반면, frame-ancestors는 특정 도메인을 허용합니다. 둘 다 설정되면 CSP frame-ancestors가 우선합니다. 특정 사이트가 콘텐츠를 임베드하도록 허용해야 하면 frame-ancestors를 사용하세요.
HSTS preload를 사용해야 하나요?
HSTS preload는 도메인을 브라우저의 내장 HTTPS 전용 목록에 추가합니다. 최대 보호를 제공하지만 되돌리기 어렵습니다. preload 활성화 전: 모든 하위 도메인이 HTTPS를 지원하는지 확인하고, HTTPS에 영구적으로 커밋하고, 짧은 max-age로 시작하세요. 확실할 때만 preload 지시문을 추가하세요.
COOP, COEP, CORP 헤더란?
고급 보안을 위한 격리 헤더입니다. COOP(Cross-Origin-Opener-Policy)는 교차 출처 팝업으로부터 창을 격리합니다. COEP(Cross-Origin-Embedder-Policy)는 모든 리소스가 명시적으로 공유되도록 합니다. CORP(Cross-Origin-Resource-Policy)는 누가 리소스를 로드할 수 있는지 제어합니다. 함께 사용하면 SharedArrayBuffer 같은 강력한 기능을 활성화하지만 모든 리소스의 옵트인이 필요합니다.