Security headers는 왜 필요한가요?

브라우저에 리소스 로드, 프레임 삽입, HTTPS 사용, 권한 접근 같은 보안 규칙을 알려 줍니다. 서버 코드가 안전해도 헤더가 없으면 클릭재킹, 잘못된 MIME 처리, 과도한 referrer 노출 같은 위험이 남을 수 있습니다.

CSP를 strict로 바로 적용해도 되나요?

바로 적용하기보다 staging에서 먼저 확인하는 것이 좋습니다. strict CSP는 inline style, 외부 스크립트, 광고, 분석 도구, 폰트 로드를 막을 수 있으므로 실제 페이지가 깨지지 않는지 확인해야 합니다.

HSTS preload는 언제 켜야 하나요?

모든 하위 도메인이 HTTPS로 안정적으로 동작하고 되돌릴 계획이 없을 때만 켜는 편이 안전합니다. preload는 브라우저 목록에 반영될 수 있어 잘못 적용하면 복구가 번거로울 수 있습니다.

입력한 설정이 서버로 전송되나요?

아니요. Security headers 생성은 브라우저 안에서만 실행됩니다. 선택한 헤더, report URI, 생성된 서버 설정은 berryfy로 전송되거나 저장되지 않습니다.

Security headers 생성기

CSP, HSTS, X-Frame-Options, Referrer-Policy 같은 웹 보안 헤더를 선택하고 nginx, Apache, Cloudflare 형식으로 복사하세요.

Security headers 설정

사이트에 적용할 보안 헤더와 서버 설정 형식을 선택하세요.

Preset출력 형식

포함할 헤더

Content-Security-Policy허용된 출처의 리소스만 로드하도록 제한Strict-Transport-Security브라우저가 HTTPS를 우선 사용하도록 지시X-Frame-Options다른 페이지 안에 삽입되는 것을 제한X-Content-Type-OptionsMIME 타입 추측을 막음Referrer-Policy다른 사이트로 전달되는 referrer 정보를 제한Permissions-Policy카메라, 마이크, 위치, 결제 권한을 기본 차단Cross-origin policiesCOOP와 CORP를 same-origin으로 설정

Frame optionReferrer policy

HSTS max-age초 단위입니다. 31536000은 1년, 63072000은 2년입니다.CSP report URI비워 두면 report-uri 지시어를 넣지 않습니다. /csp-report 또는 https URL을 사용할 수 있습니다.

includeSubDomains하위 도메인에도 HSTS 적용preload브라우저 preload 목록 제출을 준비

생성 결과

일반 헤더 형식, 헤더 6개

Content-Security-Policy: default-src 'self'; base-uri 'self'; object-src 'none'; frame-ancestors 'self'; img-src 'self' data: https:; font-src 'self' data:; connect-src 'self'; script-src 'self'; style-src 'self' 'unsafe-inline'; upgrade-insecure-requests
Strict-Transport-Security: max-age=31536000; includeSubDomains
X-Frame-Options: SAMEORIGIN
X-Content-Type-Options: nosniff
Referrer-Policy: strict-origin-when-cross-origin
Permissions-Policy: camera=(), microphone=(), geolocation=(), payment=()

Content-Security-PolicyStrict-Transport-SecurityX-Frame-OptionsX-Content-Type-OptionsReferrer-PolicyPermissions-Policy

기본 보안 헤더 조합입니다. 실제 배포 전 사이트 기능을 한 번 확인하세요.

배포 전에 기본 보안 헤더 정리하기

웹 보안 헤더는 브라우저가 페이지를 더 안전하게 다루도록 돕는 설정입니다. CSP는 외부 스크립트와 리소스 로드를 제한하고, HSTS는 HTTPS 사용을 강제하며, Referrer-Policy와 Permissions-Policy는 불필요한 정보 노출과 권한 사용을 줄입니다.

이 도구는 선택한 헤더를 일반 header 형식, nginx, Apache, Cloudflare _headers 형식으로 변환합니다. 균형 preset은 기존 사이트에 적용하기 쉬운 값으로 시작하고, strict preset은 더 강한 제한을 두어 배포 전 테스트가 필요한 설정을 보여줍니다.

보안 헤더는 사이트 기능에 영향을 줄 수 있으므로 실제 배포 전 staging 환경에서 로그인, 결제, 이미지, 폰트, 외부 스크립트를 확인해야 합니다. 생성은 브라우저 안에서만 실행되며 설정값은 berryfy로 전송되지 않습니다.

현재 작업과 이어서 쓰기 쉬운 도구를 모았습니다.

개발자비밀번호 생성기안전한 랜덤 비밀번호를 내 기기에서 만들고 한 번에 복사열기 개발자UUID 생성기브라우저에서 랜덤 UUID v4를 만들고 여러 개를 한 번에 복사열기 개발자ULID 생성기정렬 가능한 ULID를 브라우저 안에서 생성하고 timestamp를 디코딩해 업로드 없이 확인열기