보안 헤더 검사기 | 웹사이트 보안 강화
보안 헤더 검사기를 사용하여 웹사이트의 HTTP 응답 헤더를 분석하고 보안 취약점을 식별하세요. 이 도구는 누락된 보안 헤더를 찾아내고, 웹 애플리케이션을 다양한 공격으로부터 보호하는 데 필요한 정보를 제공합니다. 신속한 보안 점검으로 웹사이트의 안전성을 높이고, 보안 보고서를 통해 개선 사항을 확인하세요.
보안 헤더 기술 참조
각 보안 헤더 및 그 중요성에 대한 자세한 정보:
크로스 사이트 스크립팅(XSS) 및 기타 코드 삽입 공격을 방지하는 강력한 보안 헤더입니다. 브라우저가 로드할 수 있는 리소스(스크립트, 스타일, 이미지 등)를 지정할 수 있습니다.
default-src 'self'; script-src 'self' https://trusted.com;엄격한 정책으로 시작하고 필요에 따라 점진적으로 완화하십시오. 항상 default-src 지시문을 포함하십시오.
브라우저가 도메인에 대한 모든 향후 요청에 대해 HTTPS를 사용하도록 강제합니다. 이는 프로토콜 다운그레이드 공격 및 쿠키 하이재킹을 방지하는 데 도움이 됩니다.
max-age=31536000; includeSubDomains; preload긴 max-age(최소 1년)를 사용하고 하위 도메인이 적용 가능한 경우 포함하십시오.
다른 사이트에서 iframes에 웹사이트가 포함되는 것을 방지하여 클릭재킹 공격으로부터 보호합니다.
SAMEORIGIN프레임 완전 방지를 위해 DENY를 사용하거나, 동일 도메인에서만 프레임 허용을 위해 SAMEORIGIN을 사용하십시오.
브라우저의 내장 XSS 필터링을 활성화합니다. 현대 브라우저는 이 헤더에서 벗어나고 있지만, 구형 브라우저에 대한 추가 보호 계층을 제공합니다.
1; mode=block보호를 활성화하고 공격이 감지되면 페이지를 차단하기 위해 "1; mode=block"을 사용하십시오.
브라우저가 선언된 콘텐츠 유형으로부터 응답을 MIME-스니핑하는 것을 방지하여 드라이브 바이 다운로드 공격에 대한 노출을 줄입니다.
nosniff항상 MIME 유형 스니핑을 방지하기 위해 "nosniff"로 설정하십시오.
요청과 함께 포함해야 하는 리퍼러 정보의 양을 제어합니다. 이는 다른 사이트로 전송되는 정보를 제어하여 사용자 프라이버시를 보호하는 데 도움이 됩니다.
strict-origin-when-cross-origin보안과 기능의 균형을 잘 맞추기 위해 "strict-origin-when-cross-origin"을 사용하십시오.
웹사이트에서 사용할 수 있는 브라우저 기능 및 API를 제어합니다. 이는 민감한 브라우저 기능의 오용을 방지하는 데 도움이 됩니다.
geolocation=(), microphone=(), camera=()필요하지 않은 기능을 비활성화하고 민감한 기능에 대한 접근을 신중하게 제어하십시오.
웹사이트가 도메인에 대해 신뢰해야 하는 인증 기관을 지정할 수 있습니다. 이는 중간자 공격을 방지하는 데 도움이 됩니다.
pin-sha256="base64=="; max-age=5184000최소 두 개의 핀과 백업 계획을 포함하십시오. 참고: 이 헤더는 인증서 투명성으로 대체될 예정입니다.
주요 기능
- 포괄적인 보안 헤더 분석
- 실시간 헤더 검사
- 각 헤더에 대한 상세한 권장 사항
- 모든 주요 보안 헤더 지원
- 이해하기 쉬운 상태 표시기
일반적인 사용 사례
- 웹사이트 보안 감사
- 보안 준수 검사
- 웹 개발 테스트
- 보안 정책 구현
- 정기적인 보안 모니터링
사용 방법
- 검사하려는 웹사이트 URL을 입력하십시오
- "헤더 검사" 버튼을 클릭하십시오
- 분석이 완료될 때까지 기다리십시오
- 결과와 권장 사항을 검토하십시오
- 제안된 보안 개선 사항을 구현하십시오