1. X-Frame-Options Header Not Set
-
이 HTTP 헤더는
클릭재킹공격에 활용되는 frame, iframe, object 태그를 통해 외부 페이지를 삽입하였을 때 외부 페이지가 렌더링되지 않도록 방지한다.클릭재킹공격에 활용되는 frame, iframe, object 태그를 통해 외부 페이지를 삽입하였을 때 외부 페이지가 렌더링되지 않도록 방지하는 HTTP 응답 헤더 이다. -
X-Frame-Options 속성
- DENY: "이 홈페이지는 다른 홈페이지에서 표시할 수 않음"
- SAMEORIGIN: "이 홈페이지는 동일한 도메인의 페이지 내에서만 표시할 수 있음"
- ALLOW-FROM origin: "이 홈페이지는 origin 도메인의 페이지에서 표함하는 것을 허용함"
-
설정방법
add_header X-Frame-Options "SAMEORIGIN";2. X-Content-Type-Options Header Missing
- HTTP 응답의 헤더에
MIME형식을 추가하여 전송하여 보안 위협을 방지한다. - 설정방법
add_header X-Content-Type-Options nosniff;3. X-XSS-Protection
이 HTTP 헤더는 브라우저에 내장된 XSS(교차 사이트 스크립팅) 필터를 활성화하여 교차 사이트 스크립팅 공격을 방지한다.
- 속성
- 0; : XSS 필터링 비활성화
- 1; : XSS 필터링 활성화
- 1; mode=block : XSS 필터링 활성화 후 XSS 공격 감지 시 렌더링 중단
- 1; report= : XSS 필터링 활성화 후 XSS 공격 감지 시 렌더링 중단 후 보고
- 설정방법
add_header "X-XSS-Protection" "1; mode=block";Reference
https://sangchul.kr/797
https://webhack.dynu.net/?idx=20161119.001
https://www.jungyin.com/230
https://geekflare.com/http-header-implementation/#anchor-http-strict-transport-security
Let's grow together😊