HTTP 보안 헤더 레퍼런스
HTTP 보안 헤더 레퍼런스 및 검사기 — CSP, HSTS, X-Frame-Options, CORS 등.
Content-Security-Policy
cspPrevents XSS attacks by controlling which resources the browser is allowed to load.
권장 값: default-src 'self'; script-src 'self'; style-src 'self' 'unsafe-inline'; img-src 'self' data: https:;
없을 때 보안 위험: Cross-site scripting (XSS) attacks
Content-Security-Policy: default-src 'self'
Strict-Transport-Security
transportForces HTTPS connections and prevents SSL stripping attacks.
권장 값: max-age=31536000; includeSubDomains; preload
없을 때 보안 위험: Man-in-the-middle attacks, SSL stripping
Strict-Transport-Security: max-age=31536000; includeSubDomains
X-Frame-Options
clickjackingPrevents the page from being displayed in a frame/iframe to protect against clickjacking.
권장 값: DENY or SAMEORIGIN
없을 때 보안 위험: Clickjacking attacks
X-Frame-Options: DENY
X-Content-Type-Options
cspPrevents MIME type sniffing which can lead to security vulnerabilities.
권장 값: nosniff
없을 때 보안 위험: MIME confusion attacks
X-Content-Type-Options: nosniff
Referrer-Policy
cspControls how much referrer information is included in requests.
권장 값: strict-origin-when-cross-origin
없을 때 보안 위험: Information leakage via Referer header
Referrer-Policy: strict-origin-when-cross-origin
Permissions-Policy
cspControls which browser features and APIs can be used in the browser.
권장 값: camera=(), microphone=(), geolocation=(self)
없을 때 보안 위험: Unauthorized access to browser APIs
Permissions-Policy: camera=(), microphone=()
Access-Control-Allow-Origin
corsSpecifies which origins can access the resource.
권장 값: Specific origin or same-origin only — avoid wildcard (*) for authenticated resources
없을 때 보안 위험: Cross-origin data access
Access-Control-Allow-Origin: https://example.com
Access-Control-Allow-Methods
corsSpecifies the HTTP methods allowed for cross-origin requests.
권장 값: GET, POST, PUT, DELETE (only what is needed)
없을 때 보안 위험: Unauthorized HTTP methods via CORS
Access-Control-Allow-Methods: GET, POST
Cache-Control
cacheControls how responses are cached by browsers and proxies.
권장 값: no-store, no-cache (for sensitive data); max-age=31536000 (for static assets)
없을 때 보안 위험: Sensitive data cached and exposed
Cache-Control: no-store, no-cache, must-revalidate
Cross-Origin-Resource-Policy
corsPrevents other origins from reading the response of this resource.
권장 값: same-origin or same-site
없을 때 보안 위험: Cross-origin information leakage
Cross-Origin-Resource-Policy: same-origin
Cross-Origin-Opener-Policy
corsAllows you to ensure a top-level document does not share a browsing context group with cross-origin documents.
권장 값: same-origin
없을 때 보안 위험: Cross-origin attacks via shared browsing context
Cross-Origin-Opener-Policy: same-origin
X-XSS-Protection
cspLegacy header — enables the browser's built-in XSS filter. Mostly superseded by CSP.
권장 값: 1; mode=block (legacy) or omit in favor of CSP
없을 때 보안 위험: XSS attacks in older browsers without CSP
X-XSS-Protection: 1; mode=block
헤더 검사기
HTTP 응답 헤더를 붙여넣어 검사하세요
이 도구 소개
HTTP 보안 헤더는 웹 브라우저에 일반적인 웹 취약점으로부터 보호하는 방법을 지시하는 특수한 응답 헤더입니다. 캐싱이나 콘텐츠 배포를 제어하는 일반적인 HTTP 헤더와 달리, 보안 헤더는 크로스사이트 스크립팅(XSS), 클릭재킹, MIME 타입 악용, 크로스 오리진 데이터 도용 같은 공격을 방지하여 웹 애플리케이션 주변에 방어 경계를 만듭니다.
이 도구는 모든 주요 보안 헤더에 대한 포괄적인 참고 자료와 웹사이트의 현재 보안 상태를 분석하는 대화형 검사 도구를 제공합니다. HTTP 응답 헤더를 붙여넣거나 도메인을 입력하면, 어떤 보안 헤더가 있고 어떤 헤더가 빠졌는지, 그리고 업계 모범 사례와 비교했을 때 설정이 어떻게 평가되는지를 즉시 확인할 수 있습니다.
웹 개발자, DevOps 엔지니어, 보안 팀은 이 참고 자료를 사용하여 코드 변경 없이 배포를 강화합니다. 대부분의 보안 헤더는 서버 설정, 리버스 프록시 규칙 또는 애플리케이션 프레임워크 플러그인을 통해 순전히 구성되므로, 최신 위협으로부터 사이트의 탄력성을 향상시키는 가장 빠른 방법 중 하나입니다.
자주 묻는 질문
Comments & Feedback
Comments are powered by Giscus. Sign in with GitHub to leave a comment.