HeaderWriterFilter란?
응답 헤더에 보안 관련 헤더를 추가하는 기능을 제공합니다.
각각의 역할
XContentTypeOptionsHeaderWriter
MIME Sniffing 공격 방어
- 브라우저에서 MIME Sniffing을 사용해서 Request Content Type을 추측할 수 있는데,
이것은 XSS 공격에 악용될 수 있음 - 지정된 MIME 형식 이외의 다른 용도로 사용하는걸 차단
👀 MIME이란?
Multipurpose Internet Mail Extensions == 파일 변환
이메일과 함께 동봉할 파일을 텍스트 문자로 전환해서 이메일 시스템을 전달하기 위해 개발되어 Internet Mail Extensions 이름을 쓰고 있습니다.
하지만 현재는 웹을 통해서 여러형태의 파일을 전달하는데 쓰입니다.
🤔 MIME를 사용하는 이유?
예전에는 텍스트 파일을 주고 받는데 ASCII로 공통된 표준만 따르면 됬었지만!
ASCII가 아닌 바이너리 파일을 보내야 되는 경우가 생기게 되었습니다.
음악, 동영상 파일 등등은 ASCI로 전송이 안되니 텍스트로 변환해서 보내게 되었습니다.
- 인코딩 : 텍스트 파일로 변환
- 디코딩 : 텍스트 파일 → 바이너리 파일 변환
MIME로 인코딩한 파일은 Content-Type정보를 앞부분에 담게 되는데, 여러가지 타입이 있습니다.
.gif, .jpg, .mov 등등의 파일들은 웹 브라우저에서 무리 없이 열리는데,
브라우저에 지원하지 못하는 유형은 따로 지정해줘야 합니다.
📚 Content-Type 종류
는 아래의 참고 링크를 참고합시다... 😓
XXssProtectionHeaderWriter
브라우저에 내장된 XSS(Cross-Site Scripting) 필터 활성화
- XSS :
CacheControlHeaderWriter
캐시를 사용하지 않도록 설정
- 브라우저 캐시 설정에 따라서 사용자 인증 후에 방문한 페이지를 로그아웃한 캐시된 페이지를 악의적인 사용자가 볼 수 있습니다.
HstsHeaderWriter
HTTP대신에 HTTPS만을 사용해서 통신 하라고 브라우저에게 알림
XFrameOptionsHeaderWriter
clickjacking 공격 방어
- 웹 사용자가 자신이 클릭하고 있다고 인지하는 것과 다른 어떤 것을 클릭하도록 속이는 악의적인 기법
- 보통 사용자가 인식 없이 실행될 수 있는 임베디드 코드나 스크립트의 형태
🔖 참고
BackEnd 개발 일기