HTTP 보안 헤더 점검 가이드

HSTS, CSP, X-Frame-Options 등 필수 보안 헤더 설정 방법을 안내합니다.

문제 상황

보안 점검 결과 CSP, HSTS 등 보안 헤더가 누락된 것으로 확인되었습니다.

원인 TOP 3

  1. 기본값 미설정 — 웹서버의 기본 설정에는 보안 헤더가 포함되어 있지 않습니다.
  2. CDN 설정 누락 — CDN이 원본 서버의 헤더를 제거하거나 덮어쓸 수 있습니다.
  3. 우선순위 혼동 — 여러 설정 파일에서 헤더가 충돌하여 적용되지 않습니다.

DechoNet 도구로 확인

  • /util/http — 보안 헤더 적용 상태를 한눈에 확인합니다.

해결 체크리스트

  • HSTS: Strict-Transport-Security: max-age=31536000; includeSubDomains
  • CSP: Content-Security-Policy: default-src 'self' (필요에 따라 확장)
  • X-Frame-Options: SAMEORIGIN
  • X-Content-Type-Options: nosniff
  • Referrer-Policy: strict-origin-when-cross-origin

관련 도구

HTTP 진단
[Ad] Guide Detail Inline
← 전체 가이드 보기