HTTP 보안 헤더 검사기
원시 응답 헤더나 curl -I 출력을 붙여넣어서 CSP, HSTS, COOP 등 주요 보안 헤더를 로컬에서 검토하세요.
원시 응답 헤더나 curl -I 출력을 붙여넣으세요. 리다이렉트가 포함돼 있으면 마지막 응답 블록이 평가돼요.
원시 HTTP 응답 헤더 또는 curl -I 출력을 붙여넣으세요
HTTP 보안 헤더 검사기란?
HTTP 보안 헤더 검사기는 OWASP 보안 모범 사례에 따라 응답 헤더를 분석하고 0~100 척도로 점수를 매깁니다. Content-Security-Policy(CSP), Strict-Transport-Security(HSTS), X-Content-Type-Options, X-Frame-Options, Referrer-Policy, Permissions-Policy, 그리고 COOP, COEP, CORP를 포함하는 Cross-Origin 헤더를 평가합니다. 공개 URL을 가져오는 온라인 스캐너와 달리 이 도구는 붙여넣기 모드로 작동합니다 — curl -I 출력, 브라우저 DevTools, 또는 리버스 프록시 로그에서 원시 헤더를 복사하여 검사기에 직접 붙여넣습니다. 이 설계는 localhost 개발 서버, VPN 뒤의 스테이징 환경, 내부 API, 공개 접근할 수 없는 모든 엔드포인트에 이상적입니다. URL 가져오기, 엔드포인트 노출, 헤더 데이터 전송이 전혀 없습니다.
HTTP 보안 헤더 검사기 사용법
대상 URL에서 curl -I를 실행하거나 브라우저 DevTools Network 탭에서 응답 헤더를 복사합니다. 원시 헤더를 입력 필드에 붙여넣습니다 — 상태 줄을 포함한 전체 curl 출력도 허용됩니다. '헤더 분석'을 클릭하여 보안 보고서를 생성합니다. 각 헤더는 Pass, Warn 또는 Fail로 채점되며 설명이 포함됩니다. 붙여넣기에 여러 응답 블록(예: 리다이렉트 체인)이 포함되면 검사기는 마지막 응답을 채점합니다. 실패한 검사를 확인하고, 서버 설정을 업데이트한 후, 새 헤더를 붙여넣어 재테스트하세요.
HTTP 보안 헤더가 중요한 이유
보안 헤더는 XSS, 클릭재킹, MIME 스니핑, 데이터 주입 공격에 대한 첫 번째 방어선입니다. OWASP는 보안 헤더 누락을 웹 애플리케이션의 일반적인 구성 오류로 나열합니다. Content-Security-Policy가 누락되면 주입된 스크립트가 자유롭게 실행됩니다. HSTS가 없으면 중간자 공격으로 사용자가 HTTP로 다운그레이드될 수 있습니다. X-Frame-Options가 없으면 클릭재킹이 가능해집니다. 보안 감사, 침투 테스트, 컴플라이언스 프레임워크(PCI DSS, SOC 2)가 모두 이러한 헤더를 확인합니다. 헤더 검사를 CI/CD 파이프라인에 통합하면 — 테스트 배포에서 헤더를 내보내고, 여기에 붙여넣고, 점수를 확인 — 프로덕션에 도달하기 전에 회귀를 감지할 수 있습니다.
자주 묻는 질문
로컬호스트나 스테이징 헤더를 붙여넣을 수 있나요?
네. 이 도구는 붙여넣기 모드로 만들어져서 로컬호스트, 내부 스테이징, 어떤 비공개 환경의 헤더든 URL 노출 없이 검토할 수 있어요.
왜 URL을 직접 가져오지 않나요?
URL 가져오기는 많은 비공개 환경에서 실패하고 내부 엔드포인트를 노출할 수 있어요. 붙여넣기 모드는 워크플로를 비공개로 유지하고 curl이나 브라우저 devtools로 헤더를 복사할 수 있는 곳이면 어디서든 동작해요.
높은 점수면 보안이 보장되나요?
아니요. 검사기는 흔한 응답 헤더와 흔한 잘못된 설정을 짚어줄 뿐, 전체 애플리케이션 보안 감사는 아니에요.
이 도구를 더 큰 작업 흐름 안에서 쓰기
이 컬렉션은 같은 작업에 자주 이어지는 도구와 가이드를 함께 묶어 둡니다.
같은 태그 둘러보기
같은 작업 흐름, 형식, 사용 사례를 공유하는 다른 도구로 바로 이동하세요.