반응형 IT정보/보안3 [Nginx] X-Frame-Options 웹취약점 예제, 명령어 (gs인증) Nginx X-Frame-Options 설정 '웹취약점 GS인증대비' - "nginx x-frame-options / hsts / x-content-type-options / x-xss-protection" (적용예시및 테스트) X-Frame-Options 개념 웹 페이지가 다른 웹 사이트의 프레임 또는 iframe 내에 표시되지 않도록 하는 HTTP 헤더입니다. 공격자가 사용자가 인식하는 것과 다른 것을 클릭하도록 사용자를 속이는 클릭재킹 공격을 완화하는데 도움이 되는 보안 기능이다. | HTTP 응답헤더 종류 "DENY" - 해당 페이지는 frame을 랜더링 하지 않음 "SAMEORIGIN" - 해당 페이지와 동일한 origin에 해당하는 frame만 렌더링 "ALLOW-FROM URL" - 지정된 .. 2023. 8. 8. [보안] CORS 처리활성화 여러가지방법(GS인증 보안성) 1. 개요 CORS는 Cross-Origin Resource Sharing(CORS) 의 약자이다. 웹 페이지가 웹 페이지를 제공한 도메인이 아닌 다른 도메인에 AJAX 요청을 할 수 있도록 하는 메커니즘입니다. CORS를 사용하면 브라우저는 요청 웹 페이지의 도메인을 식별하는 "Origin" 헤더와 함께 HTTP 요청을 보냅니다. 그런 다음 서버는 요청된 리소스에 액세스할 수 있는 도메인을 지정하는 "Access-Control-Allow-Origin" 헤더로 응답할 수 있습니다. CORS는 악의적인 공격으로부터 보호하면서 도메인 간 통신을 가능하게 하는 웹 개발의 중요한 보안 기능입니다. 2. [Nginx] Access-Control-Allow-Origin : 교차 출처 요청을 할 수 있는 도메인을 지.. 2023. 4. 20. [보안] SameSite Cookie 적용 여러가지방법 (GS인증 보안성) 1. 개요 SameSite는 사이트 간 요청과 함께 쿠키를 보낼지 여부를 제어하기 위해 웹 개발자가 설정할 수 있는 쿠키 속성 아울러 GS인증 보안성에서도 최근에 확인하는 항목으로 이와 별개로 SSL적용과 함께 필수적으로 처리해아한다. SameSite쿠키를 적용하기 위해서는 SSL이 필수적으로 적용되어 있어야한다. 2. SameSite 쿠키 정책종류 Strict : 쿠키는 자사 컨텍스트에서만 전송됩니다. 즉, 쿠키를 설정한 동일한 도메인으로만 전송됩니다. Lax : 교차 사이트 요청에서도 쿠키가 전송되지만 사용자가 쿠키를 설정한 사이트와 상호 작용한 경우(예: 링크 클릭)에만 쿠키가 전송됩니다. None : 소스에 관계없이 모든 요청에 대해 쿠키가 전송됩니다. 3. Strict 적용사례 브라우저 애플.. 2023. 4. 19. 이전 1 다음 반응형