# HTTP 보안 헤더 검사기 > 로컬호스트, 스테이징, 비공개 환경용 무료 붙여넣기 방식 HTTP 보안 헤더 검사기. 공개 URL을 가져오지 않고 헤더를 분석해요. - **Category:** 개발자 - **URL:** https://www.teafun.cyou/tools/http-headers-checker/ - **Privacy:** Runs entirely in your browser — no uploads, no account, no tracking. - **Also known as:** http headers, security headers, csp, cors, response headers, check headers, website headers - **Related tools:** [로그 포매터](https://www.teafun.cyou/tools/log-formatter/), [JWT 디코더](https://www.teafun.cyou/tools/jwt-decoder/), [JSON 포매터 & 검증기](https://www.teafun.cyou/tools/json-formatter/) - **Tags:** Data, Security ## About 원시 응답 헤더나 curl -I 출력을 붙여넣어서 CSP, HSTS, COOP 등 주요 보안 헤더를 로컬에서 검토하세요. ## HTTP 보안 헤더 검사기 사용법 `curl -sI https://your.endpoint/`를 실행하거나 DevTools → Network → Headers → Response에서 복사합니다. 상태 줄(`HTTP/2 200`)을 포함한 전체 블록을 붙여넣습니다. 검사기는 리다이렉트(`301`/`302`/`307`/`308`)를 허용하고 최종 응답을 채점합니다. 각 헤더는 OWASP 권장 값에 대해 평가됩니다: Pass(권장 사항과 일치)、Warn(존재하지만 약함 — 예: HSTS `max-age=300`은 효과적이려면 너무 짧음)、Fail(누락되었거나 능동적으로 불안전 — 예: 자격 증명이 필요한 엔드포인트에 대한 `Access-Control-Allow-Origin: *`). 보고서는 각 발견을 관련 MDN 문서 및 OWASP 치트시트에 연결합니다. 흔한 함정: `X-Frame-Options: DENY`와 `Content-Security-Policy: frame-ancestors 'none'`을 모두 설정하는 것은 중복이지만 잘못된 것은 아닙니다 — `frame-ancestors`는 최신 브라우저에서 우선하고, X-Frame-Options는 레거시로 남습니다. CSP의 `script-src`에서 `'unsafe-inline'`은 XSS 보호 정책을 무효화합니다; CSP의 나머지 부분이 견고해도 Fail로 표시됩니다. ## HTTP 보안 헤더가 중요한 이유 보안 헤더 누락은 침투 테스트에서 가장 흔한 발견입니다. 왜냐하면 보이지 않기 때문입니다: 사이트가 올바른 HTML을 제공해도 응답 헤더가 잘못되면 감사에 실패합니다. PCI DSS 4.0(2025년 3월)、SOC 2 Trust Service Criteria、ISO 27001:2022 Annex A 8.26은 모두 CSP / HSTS / X-Frame-Options 누락을 제어 격차로 표시합니다. 수정 비용은 역방향 프록시의 한 줄입니다(nginx의 `add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;`、`vercel.json` 헤더의 한 블록、Cloudflare Workers의 3줄)— 하지만 감사자나 경쟁사의 보안 글이 드러나기 전까지 발견되지 않습니다. CI 통합 헤더 검사는 회귀를 감지합니다: 누군가가 디버깅 중에 잘못된 규칙을 복사-붙여넣었기 때문에 배포가 CSP를 `default-src 'self'`에서 `default-src *`로 뒤집은 경우 등. 배포 PR을 병합하기 전에 이 검사기를 통해 헤더를 실행하면 그 차이를 감지할 수 있습니다. _SEO title: HTTP 보안 헤더 검사기 – 붙여넣기 모드 | TeaFun_ ## FAQ ### 로컬호스트나 스테이징 헤더를 붙여넣을 수 있나요? 네. 이 도구는 붙여넣기 모드로 만들어져서 로컬호스트, 내부 스테이징, 어떤 비공개 환경의 헤더든 URL 노출 없이 검토할 수 있어요. ### 왜 URL을 직접 가져오지 않나요? URL 가져오기는 많은 비공개 환경에서 실패하고 내부 엔드포인트를 노출할 수 있어요. 붙여넣기 모드는 워크플로를 비공개로 유지하고 curl이나 브라우저 devtools로 헤더를 복사할 수 있는 곳이면 어디서든 동작해요. ### 높은 점수면 보안이 보장되나요? 아니요. 검사기는 흔한 응답 헤더와 흔한 잘못된 설정을 짚어줄 뿐, 전체 애플리케이션 보안 감사는 아니에요.