보안 헤더 검사기

웹사이트의 보안 헤더 설정을 검사합니다

보안 헤더 검사

검사할 웹사이트 URL

서버별 보안 헤더 설정 방법

Apache (.htaccess)

Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains"
Header always set X-Frame-Options "DENY"
Header always set X-Content-Type-Options "nosniff"
Header always set Referrer-Policy "strict-origin-when-cross-origin"

Nginx

add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
add_header X-Frame-Options "DENY" always;
add_header X-Content-Type-Options "nosniff" always;
add_header Referrer-Policy "strict-origin-when-cross-origin" always;

Node.js (Express)

const helmet = require('helmet');
app.use(helmet({
  hsts: { maxAge: 31536000, includeSubDomains: true },
  frameguard: { action: 'deny' },
  contentSecurityPolicy: false
}));

보안 헤더의 중요성

• XSS 방지: Content-Security-Policy로 스크립트 실행을 제한

• Clickjacking 방지: X-Frame-Options로 iframe 삽입 차단

• HTTPS 강제: HSTS로 안전한 연결 보장

• 정보 유출 방지: Referrer-Policy로 민감 정보 보호

• 브라우저 보안: 최신 보안 기능 활성화

⚠️ 주의사항

• 이 도구는 시뮬레이션 목적으로 제작되었습니다.

• 실제 헤더 검사는 서버에서 응답을 받아야 가능합니다.

• 보안 헤더 설정 시 기존 기능에 영향을 줄 수 있으므로 테스트가 필요합니다.

• CSP 설정은 특히 신중하게 구성해야 합니다.