HTTP 보안 헤더는 브라우저가 보안 보호를 강제하도록 지시하는 응답 헤더입니다 — XSS, 클릭재킹, 프로토콜 다운그레이드 같은 공격을 방어하는 데 도움이 됩니다. 웹 애플리케이션을 위한 쉽고 가치 있는 방어 계층입니다.
주요 보안 헤더
CONTENT-SECURITY-POLICY (CSP) → 어떤 리소스/스크립트가 로드/실행될 수 있는지 제어 →
XSS에 대한 강력한 방어(스크립트 출처 제한; 인라인 스크립트 차단) — 가장 강력
STRICT-TRANSPORT-SECURITY (HSTS) → HTTPS 강제(브라우저가 HTTP 거부) →
다운그레이드/SSL-stripping 공격 방지
X-CONTENT-TYPE-OPTIONS: nosniff → MIME 타입 스니핑 중지(일부 공격 방지)
X-FRAME-OPTIONS / CSP frame-ancestors → 클릭재킹(CLICKJACKING) 방지(iframe 임베딩 차단)
REFERRER-POLICY → 얼마나 많은 referrer 정보를 보낼지 제어(프라이버시)
PERMISSIONS-POLICY → 브라우저 기능(카메라, 위치 등) 접근 제어
예시
Content-Security-Policy: default-src 'self'; script-src 'self'
Strict-Transport-Security: max-age=31536000; includeSubDomains
X-Content-Type-Options: nosniff
X-Frame-Options: DENY
