보안 헤더 진단
자신의 사이트 URL을 입력하면 CSP, HSTS, X-Frame-Options 등 HTTP 보안 헤더를 채점하고, 부족한 설정의 수정 방법과 복사·붙여넣기용 권장 설정을 제시합니다.
이 도구는 이 사이트의 서버가 대상 URL을 한 번만 가져와 응답 헤더만 평가합니다(본문은 저장하지 않습니다). 내부·사설 주소에 대한 접근은 차단합니다.
사용 방법
- 1
자신이 관리하는 사이트의 URL을 입력합니다.
- 2
주요 보안 헤더의 유무와 강도를 채점합니다.
- 3
‘미설정’·‘약함’ 항목을 표시된 수정 방법과 권장 설정으로 보강합니다.
왜 중요한가
보안 헤더는 ‘심층 방어’의 저렴하면서도 효과적인 한 수입니다. CSP로 XSS의 피해를 억제하고, HSTS로 통신을 항상 HTTPS에 고정하며, X-Frame-Options로 클릭재킹을 막습니다 — 각각 서버 설정 몇 줄만 추가하면 됩니다. 우선 엄격한 기본값에서 시작하여 필요에 따라 완화하는 것이 정석입니다.
자주 묻는 질문
Q다른 사람의 사이트를 진단해도 되나요?
A
이 도구는 대상 URL을 한 번 가져와 응답 헤더를 볼 뿐, 능동적인 스캔이나 공격은 하지 않습니다(브라우저로 여는 것과 같은 범위). 다만 용도는 ‘자신의 사이트 점검’을 상정합니다.
Q만점(A)이 아니면 위험한가요?
A
아니요. 사이트의 성격에 따라 불필요한 헤더도 있습니다. 중요한 것은 CSP, HSTS, X-Frame-Options, X-Content-Type-Options입니다. 이들이 갖춰져 있으면 실용상 충분히 견고합니다.