보안에 필요한 필수 헤더의 누락
브라우저는 응답에 포함된 헤더를 통해 자체적으로 컨텐츠를 차단 또는 변경하는 기능이 구현되어 있음.
[설정의 종류 아래 정리]
1. Content-Security-Policy
2. X-Frame-Option
이 헤더는 사용자의 눈에 보이지 않는 영역을 추가하여 사용자는 의도한대로 버튼을 누르지만 실제로는 다른 곳을 클
릭하게 만드는 Clickjacking을 방지 할 수 있는 옵션입니다. 페이지 내부에 심어질 수 있는 iframe과 같은 곳에 접근을
제어하는 옵션으로 설정 가능
X-Frame-Options : DENY (모든 표시를 거부)
X-Frame-Options : SAMEORIGIN (동일한 출처에 대한 것만 표시
X--Frame-Options : ALLOW FROM http://www.aaa.com (http:www.aaa.com에 대해서만 허용)
서버가 X-Frame-Options 헤더를 반환하지 않으면 이 웹사이트가 클릭재킹 공격의 위험에 처할 가능성 존재
* Clickjacking(User Interface redress attack, UI redress attack, UI redressing)은 웹 사용자를 속여 사용자가 클릭하고
있는 것과 다른 것을 클릭하도록 속여서 잠재적으로기밀 정보를 노출시키거나 컴퓨터를 제어하는 악의적인 기술. 무
해해 보이는 웹 페이지를 클릭
3. X-Content-Type-Option
4. Strict-Transport-Security
이 헤더는 한번 https로 접속하는 경우 이후의 모든 요청을 http로 요청하더라도 브라우저가 자동으로 https로 요청합니다.
Strict-Transport-Security: max-age=31536000;includeSubDomains;preload
https로 전송한 요청을 중간자가 가로채어 내용을 볼 수 있는(MIMT)기법을 클라이언트 레벨(브라우저)에서 차단할 수 있습니다.
5. X-XSS-Protection
6. Cache-Control, Programa