Security HTTP Headers - 보안 & 프라이버시 > 사이버 보안 | AI Insight Note

보안 HTTP 헤더는 웹 서버가 응답 시 브라우저에게 보안 정책을 지시하는 헤더들이다. 올바른 설정만으로 XSS, 클릭재킹, MIME 스니핑 등 다양한 공격을 효과적으로 차단할 수 있다.

핵심 보안 헤더

HTTP/1.1 200 OK
Strict-Transport-Security: max-age=31536000; includeSubDomains; preload
X-Content-Type-Options: nosniff
X-Frame-Options: DENY
X-XSS-Protection: 1; mode=block
Content-Security-Policy: default-src 'self'; script-src 'self' 'nonce-xxx'
Referrer-Policy: strict-origin-when-cross-origin
Permissions-Policy: geolocation=(), camera=(), microphone=()

헤더별 상세 설명

헤더	방어 대상	권장 값
HSTS	SSL 스트리핑	max-age=31536000; includeSubDomains
X-Content-Type-Options	MIME 스니핑	nosniff
X-Frame-Options	클릭재킹	DENY 또는 SAMEORIGIN
CSP	XSS, 데이터 인젝션	default-src 'self'
Referrer-Policy	정보 유출	strict-origin-when-cross-origin
Permissions-Policy	브라우저 API 남용	미사용 기능 비활성화

HSTS (HTTP Strict Transport Security)

브라우저가 항상 HTTPS로 접속하도록 강제한다. 한 번 설정되면 브라우저가 캐시하여 max-age 동안 HTTP 접속 시 자동으로 HTTPS로 리다이렉트한다.

X-Content-Type-Options: nosniff

브라우저가 Content-Type을 무시하고 내용을 기반으로 MIME 타입을 추측하는 것을 방지한다. 이미지 파일에 스크립트를 숨기는 공격을 차단한다.

Nginx 보안 헤더 설정

nginx

server {
    add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
    add_header X-Content-Type-Options "nosniff" always;
    add_header X-Frame-Options "DENY" always;
    add_header Referrer-Policy "strict-origin-when-cross-origin" always;
    add_header Permissions-Policy "geolocation=(), camera=()" always;

    # 서버 정보 숨기기
    server_tokens off;
}

Security HTTP Headers보안 HTTP 헤더

핵심 보안 헤더

헤더별 상세 설명

HSTS (HTTP Strict Transport Security)

X-Content-Type-Options: nosniff

Nginx 보안 헤더 설정

관련 개념