의미없는 블로그

Cache-Control: no-store캐시 금지모든 요청마다 항상 원본 서버에서 데이터를 가져오도록 Pragma: no-cacheHTTP/1.0 에서 쓰는것HTTP/1.1 은 Cache-Control: no-store 로 내부망 서비스는 우리만 접속하니까Pragma: no-cache 안해도 되자나 apache (httpd.conf or .htaccess) Header set Cache-Control "no-store, no-cache, must-revalidate" Header set Pragma "no-cache" Header set Expires 0 Java (Spring boot)import org.springframework.web.bind.annotation.*;import ..

불필요한 헤더 제거X-Powered-By: Servlet/3.0 해당 서버가 Java Servlet 3.0을 사용하고 있다는 의미 Java Servlet API 3.0 버전Java EE 6 (J2EE) 기반비동기 서블릿 지원 (AsyncContext)파일 업로드 API 개선웹 애플리케이션이 더 유연한 방식으로 동작 가능이 서버는 Java Servlet 3.0을 지원하는 Java 기반 웹 애플리케이션 서버(Tomcat, JBoss, WebSphere 등)에서 실행 중일 가능성이 높습니다. 공격자가 X-Powered-By: Servlet/3.0 헤더를 통해 웹 애플리케이션 서버의 버전을 유추할 수 있음.예: Apache Tomcat 7.x (Servlet 3.0 지원) 사용 가능성특정 버전에서 알려진 보안 ..

internal.example.com 과 admin.example.com 이 쿠키를 공유할 필요가 없다면 SameSite=Strict 쿠키가 동일한 사이트(도메인)에서 발생한 요청에서만 전송됨다른 도메인 링크 클릭, 리다이렉션 등에는 전송되지 않음example.com/dashboard > example.com/profile 이동 시 쿠키 유지됨other-site.com > 링크 클릭 > example.com 이동 시 쿠키 전송 X SameSite=Laxexample.com/dashboard > example.com/profile 이동 시 쿠키 유지됨other-site.com > 링크 클릭 > example.com 이동 시 쿠키 전송됨 other-site.com 에서 POST form 으로 example...

Content-Security-Policy 헤더 설정 CSP(Content Security Policy) 헤더를 사용하여 웹 페이지가 로드할 수 있는 외부 리소스의 출처를 제한하거나 허용할 수 있다는 것입니다.  Content-Security-Policy: default-src 'self'; defaul-src 'self'현재 사이트에서만 리소스를 로드외부 사이트에서 가져온 스크립트, 스타일, 이미지 등은 차단CDN, API, 외부 스크립트 등이 작동하지 않을 수 있음폰트도 차단될 수 있음 해결 방법Content-Security-Policy: default-src 'self'; script-src 'self' https://cdnjs.cloudflare.com; style-src 'se..

HTTPS 로만 접속 시키는거 Strict-Transport-Security: max-age=31536000 ; includeSubDomains; preload응답 헤더 설정 31536000 : HSTS 응답을 받는 웹 사이트에 대해서 최초 접속 후 1년 동안 브라우저에서 강제화includeSubDomains : 하위 도메인도 포함preload : preload 옵션은 크롬 HSTS preload 리스트에 등록하는 것이므로 내부망에는 불필요 HSTS 헤더가 없어도 http > https 자동 변환 되는데 왜 HSTS 헤더를 설정해야돼?첫 번째 요청에 대한 보호: 사용자가 처음 웹사이트에 접속할 때, HTTP 요청을 보낼 수 있기 때문에 서버에서 HTTPS로 리디렉션을 설정하는 것은 안전하지 않을 수 있습..

Content-Type: application/xmlContent-Type: application/octet-streamContent-Type: text/plainContent-Type: application/javascript  .jpg 파일에 자바스크립트 담아서 업로드 하면MIME 이 image/jpeg 이지만내용이 alert(1) 니까브라우저로 실행시킬 수 있다 X-Content-Type-Options: sniff 헤더 설정하면MIME 이 image/jpeg 면 실행 안시킨다Javascript 차단 가능 res.addHeader("X-Content-Type-Options", "nosniff") https://webhack.dynu.net/?idx=20161120.001