http 헤더를 안전하게 설정하는 방법

 

http 요청, 응답에는 꽤 많은 헤더들이 있는데요,

서버에서 내려주는 응답 헤더들 중 보안과 관련된 헤더들은 어떤 것이 있는지 공부해 보았습니다.

아래 사이트에 접속하면 응답 헤더를 기반으로 보안 등급을 매겨 줍니다.

https://securityheaders.com/

Analyse your HTTP response headers

메인 페이지에 각종 사이트의 등급 순위가 매겨져 있는데,

구글, 네이버, 다음, 야후 등 알만한 사이트는 하나도 보이지 않아 실제로 이 헤더들을 전부 지키는 것과 보안 사이의 실효성에는 조금 의문이 들긴 합니다만.. 

실제로 현업에서 중요하게 다뤄지는 헤더들도 있는 만큼 한번 알고 가시는 것은 좋을 것 같습니다.

 

아래 8개의 헤더들이 보안과 관련이 있다고 합니다.

X-Frame-Options : SAMEORIGIN

브라우저가 이 페이지를 <frame> <iframe> <object> 태그 안에서 랜더링 할 수 있는지 여부를 정한다.

never.com 과 같은 유사 사이트를 만들어 놓고 iframe에 네이버를 담아놓고, 로그인 창을 새로 만들어 위에 덮었다 하자. 잘 몰랐던 유저는 로그인창에 아이디, 비밀번호를 입력할 것이다! → clickjacking

 

X-XSS-Protection : 1; mode=block

뭔지 몰라도 1; mode=block 설정값을 권장한다. 그렇지만 Content Security Policy 는 알고 있으라는데..

위험 예제는 여기서 잘 설명하고 있다. https://kevinthegrey.tistory.com/36

2-2) XSS(Cross Site Scripting) 공격기법, 시큐어 코딩

 

Strict-Transport-Security : max-age=31536000; includeSubDomains

SSL 설정을 해 놓았을 경우에 무조건 https로만 접속이 되게 하는 것이다. 과거 http 에서 https로 전환을 한 사이트의 경우 http접속이 허용되는 경우가 있는데 그런 경우를 막을 수 있다.

 

X-Content-Type-Options : nosniff

해당 헤더가 있으면 브라우저는 응답에 포함된 mime type 이외의 것으로는 해석하지 않는다. 값은 only nosniff

 

Expect-CT : enforce, max-age=300, report-uri='https://2e866ccbad5c8ccc367e2f432ee8a11c.report-uri.com/r/d/ct/enforce'

적용된 지 얼마 안된(2-3년 이내?) 헤더 인 듯 하다.

Expect-CT allows a site to determine if they are ready for the upcoming Chrome requirements and/or enforce their CT policy.

User agent 가 올바른 사이트인지 인식하도록 하는 듯?

 

Content-Security-Policy : script-src 'self'

지정한 출처로부터의 리소스만 허용하게 한다.

 

Referrer-Policy : no-referrer

https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Referrer-Policy

요청에 넘어오는 Referer 헤더의 어떤 값이 들어가야 하는지를 명시한다.

 

Feature-Policy : autoplay 'none'; camera 'none'

사이트가 브라우저에서 어떤 피쳐들을 사용할 수 있을지 정할 수 있게 해준다.