본문으로 건너뛰기
>_ITDITD웹 보안 플랫폼

보안 헤더 진단

자신의 사이트 URL을 입력하면 CSP, HSTS, X-Frame-Options 등 HTTP 보안 헤더를 채점하고, 부족한 설정의 수정 방법과 복사·붙여넣기용 권장 설정을 제시합니다.

이 도구는 이 사이트의 서버가 대상 URL을 한 번만 가져와 응답 헤더만 평가합니다(본문은 저장하지 않습니다). 내부·사설 주소에 대한 접근은 차단합니다.
예제로 시도하기(이 사이트 자체를 진단)
B
종합 평가
86 / 100
https://itdef.net/ja
  • Content-Security-Policy약함
    현재 값: default-src 'self'; img-src 'self' data: blob: https://www.googletagmanager.com https://www.google-analytics.com https://*.google-analytics.com https://*.analyt…
    XSS 영향을 크게 줄이는 심층 방어의 핵심. unsafe-inline은 피하세요. default-src 'self'; object-src 'none'; base-uri 'self'; frame-ancestors 'none'
  • Strict-Transport-Security (HSTS)OK
    현재 값: max-age=63072000; includeSubDomains; preload
  • X-Frame-OptionsOK
    현재 값: DENY
  • X-Content-Type-OptionsOK
    현재 값: nosniff
  • Referrer-PolicyOK
    현재 값: strict-origin-when-cross-origin
  • Permissions-PolicyOK
    현재 값: camera=(), microphone=(), geolocation=(), browsing-topics=()
  • Cross-Origin-Opener-PolicyOK
    현재 값: same-origin-allow-popups
  • 정보 노출 (Server / X-Powered-By)OK

AI 개선 지시(복사·붙여넣기)

Claude / ChatGPT에 붙여넣으면 사용자 환경에 맞는 구체적인 수정 방법을 알려줍니다.

당신은 웹 보안 전문가입니다. 제 사이트(https://itdef.net/ja)에 일부 HTTP 보안 헤더가 누락되어 있습니다. 공격이 아닌 방어 목적으로, 제가 사용하는 서버/프레임워크(nginx / Caddy / Apache / Next.js 등)에 맞춰 다음 항목을 안전하게 설정하는 방법을 구체적인 코드 예시로 알려주세요. 어떤 서버인지 모르겠다면 질문해 주세요. 설정 후 올바르게 적용되었는지 확인하는 방법도 알려주세요.

- Content-Security-Policy(개선 필요)→ default-src 'self'; object-src 'none'; base-uri 'self'; frame-ancestors 'none'

참고: 분석 태그나 광고 등 기존 동작을 깨뜨리지 않도록 호환성을 고려한 설정으로 해주세요. 공격 기법이나 우회 방법 설명은 필요 없습니다.

권장 헤더(복사·붙여넣기용 출발점)

서버(nginx / Caddy / 앱)에서 이들을 반환하는 것부터 시작하세요.

Content-Security-Policy: default-src 'self'; object-src 'none'; base-uri 'self'; frame-ancestors 'none'
Strict-Transport-Security: max-age=31536000; includeSubDomains
X-Frame-Options: DENY
X-Content-Type-Options: nosniff
Referrer-Policy: strict-origin-when-cross-origin
Permissions-Policy: geolocation=(), microphone=(), camera=()

사용 방법

  1. 1

    자신이 관리하는 사이트의 URL을 입력합니다.

  2. 2

    주요 보안 헤더의 유무와 강도를 채점합니다.

  3. 3

    ‘미설정’·‘약함’ 항목을 표시된 수정 방법과 권장 설정으로 보강합니다.

왜 중요한가

보안 헤더는 ‘심층 방어’의 저렴하면서도 효과적인 한 수입니다. CSP로 XSS의 피해를 억제하고, HSTS로 통신을 항상 HTTPS에 고정하며, X-Frame-Options로 클릭재킹을 막습니다 — 각각 서버 설정 몇 줄만 추가하면 됩니다. 우선 엄격한 기본값에서 시작하여 필요에 따라 완화하는 것이 정석입니다.

자주 묻는 질문

Q다른 사람의 사이트를 진단해도 되나요?
A

이 도구는 대상 URL을 한 번 가져와 응답 헤더를 볼 뿐, 능동적인 스캔이나 공격은 하지 않습니다(브라우저로 여는 것과 같은 범위). 다만 용도는 ‘자신의 사이트 점검’을 상정합니다.

Q만점(A)이 아니면 위험한가요?
A

아니요. 사이트의 성격에 따라 불필요한 헤더도 있습니다. 중요한 것은 CSP, HSTS, X-Frame-Options, X-Content-Type-Options입니다. 이들이 갖춰져 있으면 실용상 충분히 견고합니다.

관련 페이지