X-Content-Type
X-Content-Type: nosniff
- MIME 타입으로 지정한 형식 외의 다른 용도로 사용하는 것을 차단
ex. image/jpeg 타입 파일을 자바스크립트로 사용 등
X-Frame-Options
<frame>,<iframe>,<object>에서의 랜더링 허용 여부- clickjacking 방지
X-Frame-Options: deny
- 모든 접근 불가
X-Frame-Options: sameorigin
- 같은 사이트 내에서만 가능
X-Frame-Options: allow-from https://example.com/
- 특정 URL에서만 가능
X-XSS-Protection
- XSS 공격을 감지하면 페이지 로드를 중단함
X-XSS-Protection: 0
- 비활성화
X-XSS-Protection: 1
- 활성화, 일반적으로 기본값
- 공격이 감지되면 안전하지 않은 영역을 제외하고 렌더링함
X-XSS-Protection: 1; mode=block
- 공격이 감지되면 안전하지 않은 영역을 제외하고 렌더링하는 것이 아니라 페이지 렌더링 자체를 중단함
X-XSS-Protection: 1; report={reporting-uri}
- 공격이 감지되면 보고서를 제출함
Content-Security-Policy
- 리소스 로드를 제한
- XSS, clickjacking 공격을 방지
X-Content-Security-Policy,X-Webkit-CSP: 동일한 용도이나, 브라우저에 따라 예상되지 않는 동작이 발생할 수 있으니 사용하지 말것
Referrer-Policy
- referrer 노출 정책
Referrer-Policy: same-origin
- 같은 사이트끼리의 페이지 전환인 경우에만 남김
작성중
