Security2 [Web Security] X-Frame-Options 헤더 X-Frame-Options는 사이트가 iframe 내에서 프레임을 구성하는 방법을 제어할 수 있는 HTTP 헤더이다. Clickjacking은 악성 사이트가 사이트에 전혀 존재하지 않는 것처럼 보이지만, 사용자가 사이트에 있는 링크를 클릭하도록 속이는 실질적인 공격이다. 따라서, X-Frame-Options 헤더의 사용은 모든 새로운 웹 사이트에 필수이며, 모든 기존 웹 사이트는 가능한 빠르게 X-Frame-Options에 대한 지원을 추가할 것으로 예상된다. 매개변수 DENY: iframe 사이트 시도를 허용하거나 미허용(권장) SAMEORIGIN: 사이트에서 자체 iframe을 허용 ALLOW-FROM uri: deprecated; 예시 # X-Frame-Options와 CSP로 사이트가 프레인되지.. 2021. 10. 8. [Web Security] X-XSS-Protection 헤더 X-XSS-Protection은 Cross-Site Scripting(XSS) 공격이 감지되었을 때, 페이지 로딩을 멈추도록 하는 Internet Explorer와 Crome의 기능입니다. 이러한 보호는 사이트가 Inline Javascript(unsafe-inline)의 사용을 비활성화하도록 강력하게 Content Security Policy를 구현했을 때, 모던 브라우저에서는 거의 필요하지 않을 수는 있습니다. 그러나 아직 CSP를 지원하지 않는 이전 웹 브라우저의 사용자에게는 여전히 보호 기능을 제공할 수 있습니다. 새로운 웹 사이트는 이 헤더를 사용해야 하지만, 오탐지 위험이 적기 때문에, 기존 사이트에만 권장됩니다. 이 헤더는 API에 필요하지 않으며, 대신 제한적인 Content Securit.. 2021. 7. 15. 이전 1 다음