HTTP 보안 헤더 검사기
원시 응답 헤더나 curl -I 출력을 붙여넣어서 CSP, HSTS, COOP 등 주요 보안 헤더를 로컬에서 검토하세요.
원시 응답 헤더나 curl -I 출력을 붙여넣으세요. 리다이렉트가 포함돼 있으면 마지막 응답 블록이 평가돼요.
0 바이트
원시 HTTP 응답 헤더 또는 curl -I 출력을 붙여넣으세요
HTTP 보안 헤더 검사기을(를) 테스트했어요 — 다음엔 로그 포매터 시도해 보세요 →
HTTP 보안 헤더 검사기란?
HTTP 보안 헤더는 브라우저에 크로스 오리진 요청, 스크립트 실행, 혼합 콘텐츠, 임베디드 컨텍스트를 어떻게 처리할지 알려줍니다 — 이들은 당신이 배포할 수 있는 가장 저렴한 강화입니다. 왜냐하면 유일한 비용은 설정 편집이기 때문입니다. 검사기는 OWASP Secure Headers Project 권장 사항과 Mozilla Observatory 평가 기준에 따라 점수를 매깁니다. 평가하는 주요 헤더들: Content-Security-Policy(허용된 스크립트/스타일/이미지 출처의 화이트리스트; default-src 'self' 기본값은 대부분의 XSS를 차단)、Strict-Transport-Security(HSTS — max-age 초 동안 HTTPS 강제; >=31536000 값에 includeSubDomains; preload를 포함하면 hstspreload.org의 HSTS 사전로드 목록에 적격, Chrome / Firefox / Safari에 내장)、X-Content-Type-Options: nosniff(브라우저가 .txt를 HTML로 착각하는 것을 방지)、X-Frame-Options: DENY / CSP frame-ancestors(클릭재킹 방지 — frame-ancestors는 최신 CSP 동등물이며 X-Frame-Options를 무시)、Referrer-Policy(어떤 Origin/경로가 제3자에게 유출되는지 제어)、Permissions-Policy(이전의 Feature-Policy — 카메라, 마이크, 지리 위치 거부)、그리고 SharedArrayBuffer와 고해상도 타이머를 제어하는 Cross-Origin Isolation 삼중 조합 COOP / COEP / CORP. URL 기반 스캐너(securityheaders.com, Mozilla Observatory)와 달리 이 도구는 curl -I 또는 DevTools에서 붙여넣은 헤더를 받아들이므로, VPN 또는 localhost 뒤의 내부 엔드포인트도 노출하지 않으면서 점수를 매길 수 있습니다.
HTTP 보안 헤더 검사기 사용법
curl -sI https://your.endpoint/를 실행하거나 DevTools → Network → Headers → Response에서 복사합니다. 상태 줄(HTTP/2 200)을 포함한 전체 블록을 붙여넣습니다. 검사기는 리다이렉트(301/302/307/308)를 허용하고 최종 응답을 채점합니다. 각 헤더는 OWASP 권장 값에 대해 평가됩니다: Pass(권장 사항과 일치)、Warn(존재하지만 약함 — 예: HSTS max-age=300은 효과적이려면 너무 짧음)、Fail(누락되었거나 능동적으로 불안전 — 예: 자격 증명이 필요한 엔드포인트에 대한 Access-Control-Allow-Origin: *). 보고서는 각 발견을 관련 MDN 문서 및 OWASP 치트시트에 연결합니다. 흔한 함정: X-Frame-Options: DENY와 Content-Security-Policy: frame-ancestors 'none'을 모두 설정하는 것은 중복이지만 잘못된 것은 아닙니다 — frame-ancestors는 최신 브라우저에서 우선하고, X-Frame-Options는 레거시로 남습니다. CSP의 script-src에서 'unsafe-inline'은 XSS 보호 정책을 무효화합니다; CSP의 나머지 부분이 견고해도 Fail로 표시됩니다.
HTTP 보안 헤더가 중요한 이유
보안 헤더 누락은 침투 테스트에서 가장 흔한 발견입니다. 왜냐하면 보이지 않기 때문입니다: 사이트가 올바른 HTML을 제공해도 응답 헤더가 잘못되면 감사에 실패합니다. PCI DSS 4.0(2025년 3월)、SOC 2 Trust Service Criteria、ISO 27001:2022 Annex A 8.26은 모두 CSP / HSTS / X-Frame-Options 누락을 제어 격차로 표시합니다. 수정 비용은 역방향 프록시의 한 줄입니다(nginx의 add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;、vercel.json 헤더의 한 블록、Cloudflare Workers의 3줄)— 하지만 감사자나 경쟁사의 보안 글이 드러나기 전까지 발견되지 않습니다. CI 통합 헤더 검사는 회귀를 감지합니다: 누군가가 디버깅 중에 잘못된 규칙을 복사-붙여넣었기 때문에 배포가 CSP를 default-src 'self'에서 default-src *로 뒤집은 경우 등. 배포 PR을 병합하기 전에 이 검사기를 통해 헤더를 실행하면 그 차이를 감지할 수 있습니다.
자주 묻는 질문
로컬호스트나 스테이징 헤더를 붙여넣을 수 있나요?
네. 이 도구는 붙여넣기 모드로 만들어져서 로컬호스트, 내부 스테이징, 어떤 비공개 환경의 헤더든 URL 노출 없이 검토할 수 있어요.
왜 URL을 직접 가져오지 않나요?
URL 가져오기는 많은 비공개 환경에서 실패하고 내부 엔드포인트를 노출할 수 있어요. 붙여넣기 모드는 워크플로를 비공개로 유지하고 curl이나 브라우저 devtools로 헤더를 복사할 수 있는 곳이면 어디서든 동작해요.
높은 점수면 보안이 보장되나요?
아니요. 검사기는 흔한 응답 헤더와 흔한 잘못된 설정을 짚어줄 뿐, 전체 애플리케이션 보안 감사는 아니에요.
이 도구를 더 큰 작업 흐름 안에서 쓰기
이 컬렉션은 같은 작업에 자주 이어지는 도구와 가이드를 함께 묶어 둡니다.
같은 태그 둘러보기
같은 작업 흐름, 형식, 사용 사례를 공유하는 다른 도구로 바로 이동하세요.