티스토리 뷰
# HTTP 응답 보안 헤더
응답헤더에 특정 내용을 기입함으로써 웹브라우저에 지시를 내리게 된다.
-
Cache Control : 악의적인 사용자가 브라우저 히스토리를 악용할 수 있기 때문에 브라우저가 웹페이지 컨텐츠를 캐싱하지 않도록 설정
-
Content Type Option : 컨텐츠 스니핑을 하지 못하도록 설정
-
HTTP Strict Transport Security (HSTS) : 어떤 사이트가 웹브라우저의 HSTS 호스트 목록에 저장되면, 다음에 해당하는 사이트에 접속 할 때에는 자동으로 https:// 를 붙여 보안상으로 안전하게 접속할 수 있다
-
Frame Options : 웹사이트에 프레임을 허용하는 것은 클릭재킹과 같은 공격에 취약한데, Frame Option을 DENY로 설정하면 프레임 내부에서 페이지가 렌더링되는 것을 막는다
-
XSS Protection : 웹 브라우저의 내장 XSS filter를 사용하도록 하는 옵션
-
Content Security Policy : XSS와 같은 공격의 피해를 최소화하기 위해, 스크립트를 허용할 URL을 헤더에 설정하는 옵션
cf. 클릭재킹(Clickjacking): 감춰진 링크를 사용자가 클릭함으로써 의도되지 않은 행동을 수행하게 하는 악의적인 기법으로, 공격자는 비밀정보나 컴퓨터에 대한 제어를 얻을 수 있다.
cf. P3P(Platform for Privacy Preferences): 프라이버시 보호 관련 표준 기술, P3P를 적용한 사이트에서는 HTTP 헤더 또는 링크된 XML 파일을 통해 해당 사이트에서 취급하는 개인정보의 레벨이나 성격을 웹브라우저에게 알려준다. (압축된 정책 중 PHY는 physical의 약자로, 연락처 또는 위치정보를 의미한다)
'Programming > Java' 카테고리의 다른 글
| [Spring] How to get list objects in AWS S3 bucket (0) | 2019.01.12 |
|---|---|
| [Java] Collections.sort()를 이용한 List 정렬 (0) | 2018.12.30 |
| [Spring] Reading S3 text file as a string (0) | 2018.12.19 |
| [Spring] Uploading String to Amazon S3 (1) | 2018.12.12 |
| [Spring] AOP(Aspect Oriented Programming) (0) | 2018.10.28 |