보안취약점 HTTP 헤더 설정

Hyunjun Jang·2021년 8월 15일
2

1. X-Frame-Options Header Not Set

  • 이 HTTP 헤더는 클릭재킹 공격에 활용되는 frame, iframe, object 태그를 통해 외부 페이지를 삽입하였을 때 외부 페이지가 렌더링되지 않도록 방지한다.

    클릭재킹 공격에 활용되는 frame, iframe, object 태그를 통해 외부 페이지를 삽입하였을 때 외부 페이지가 렌더링되지 않도록 방지하는 HTTP 응답 헤더 이다.

  • X-Frame-Options 속성

    • DENY: "이 홈페이지는 다른 홈페이지에서 표시할 수 않음"
    • SAMEORIGIN: "이 홈페이지는 동일한 도메인의 페이지 내에서만 표시할 수 있음"
    • ALLOW-FROM origin: "이 홈페이지는 origin 도메인의 페이지에서 표함하는 것을 허용함"
  • 설정방법

 	add_header X-Frame-Options "SAMEORIGIN";

2. X-Content-Type-Options Header Missing

  • HTTP 응답의 헤더에 MIME 형식을 추가하여 전송하여 보안 위협을 방지한다.
  • 설정방법
 	add_header X-Content-Type-Options nosniff;

3. X-XSS-Protection

이 HTTP 헤더는 브라우저에 내장된 XSS(교차 사이트 스크립팅) 필터를 활성화하여 교차 사이트 스크립팅 공격을 방지한다.

  • 속성
    • 0; : XSS 필터링 비활성화
    • 1; : XSS 필터링 활성화
    • 1; mode=block : XSS 필터링 활성화 후 XSS 공격 감지 시 렌더링 중단
    • 1; report= : XSS 필터링 활성화 후 XSS 공격 감지 시 렌더링 중단 후 보고
  • 설정방법
	add_header "X-XSS-Protection" "1; mode=block";

Reference

https://sangchul.kr/797
https://webhack.dynu.net/?idx=20161119.001
https://www.jungyin.com/230
https://geekflare.com/http-header-implementation/#anchor-http-strict-transport-security

profile
Let's grow together😊

0개의 댓글