Secure-Header 보안 헤더 Content-Security-Policy 요약 설정된 URL의 Static Resource만 허용하게 하는 용도로 주로 XSS 공격 방지 목적으로 사용된다. Content 종류 script-src: JavaScript code. connect-src: XMLHttpRequest, WebSockets, and EventSource. font-src : fonts frame-src: frame urls img-src: Images media-src: audio & video object-src: Flash (and other plugins) style-src: CSS 예시 Content-Security-Policy: script-src ‘self’ https://apis.google.com X-Frame-Options 요약 <frame> , <iframe> , <object> 태그를 렌더링할지 막을지 결정하는 것으로 ClickJacking과 같은 공격을 무력화하기 위해 주로 사용된다. 사용 방법 X-Frame-Options: DENY (비 허용) X-Frame-Options: SAMEORIGIN (동일 origin에서만 허용) X-Frame-Options: ALLOW FROM http://some-domain.com (특정 origin에서만 허용) X-Content-Type-Options 요약 리소스 다운 시 해당 리소스의 MIMETYPE이 일치하지 않을 경우 차단하는 헤더로 MIME-Sniffing 공격 차단을 위해 주로 사용된다. 사용 방법 X-Content-Type-Options: nosniff Strict-Transport-Security 요약 HTTPS 통신으로 고정하여(이후 발생되는 HTTP 요청을 브라우저가 자동으로 HTPS로 요청) 중간자 공격을 차단하는 헤더이다. 사용