WebUtils
ENKO
모든 도구로 돌아가기

보안 헤더 확인기 | HTTP 응답 헤더 검사

보안브라우저에서 실행(업로드 없음)

HTTP 응답 헤더를 붙여넣고 HSTS, CSP, nosniff, 프레임 보호, Referrer-Policy, Permissions-Policy, 교차 출처 격리 힌트를 서버 전송 없이 확인합니다.

Loading…

다음에 할 작업

관련 작업 흐름을 이어가거나 이 작업 다음에 자주 사용하는 도구를 열어보세요.

관련 도구

해시 생성기 | MD5, SHA-1, SHA-256, SHA-512

MD5·SHA-1/256/512 해시를 브라우저에서 즉시 계산.

열기관련 도구

JWT 디코더 | JSON Web Token 분석 및 디버깅

JWT를 디코딩해 헤더와 페이로드를 로컬에서 안전하게 확인.

열기관련 도구

CSP 헤더 분석기 | Content-Security-Policy 헤더 파싱

CSP 헤더를 지시문과 보수적인 보안 검토 힌트로 파싱합니다.

열기관련 도구

HTTP 헤더 파서 | 요청 및 응답 헤더 확인

원시 HTTP 요청 또는 응답 헤더를 그룹화된 디버깅 출력으로 파싱합니다.

열기

이 도구 사용 방법

  1. 1

    curl -I, DevTools, CDN 로그, 배포 로그, 리버스 프록시 출력에서 복사한 HTTP 응답 헤더를 붙여넣습니다.

  2. 2

    감지된 보안 헤더, 누락된 권장 헤더, 경고, 정보성 발견 항목을 확인합니다.

  3. 3

    그룹 카드를 통해 전송 보호, 콘텐츠와 프레임, 개인정보와 권한, 교차 출처 격리 신호를 확인합니다.

  4. 4

    현지화된 보고서를 복사하거나 다운로드해 배포 노트나 PR 리뷰에 사용합니다.

  5. 5

    출력은 전체 보안 감사가 아니라 검토 힌트로 사용합니다.

이 도구를 써야 할 때

배포 검토

배포 전후 curl -I에서 복사한 프로덕션 응답 헤더를 검토합니다.

보안 헤더 기준

웹 앱 기본 보안 기준을 조정하면서 HSTS, CSP, nosniff, 프레임 보호, referrer policy를 확인합니다.

인프라 디버깅

내부 호스트명을 서버로 보내지 않고 CDN, 리버스 프록시, 프레임워크 헤더를 비교합니다.

검토 노트

PR, 장애 노트, 출시 체크리스트에 넣을 읽기 쉬운 발견 항목을 만듭니다.

예시

강한 응답 헤더 세트 검토

입력
HTTP/2 200
strict-transport-security: max-age=63072000; includeSubDomains; preload
content-security-policy: default-src 'self'; frame-ancestors 'none'
x-content-type-options: nosniff
referrer-policy: strict-origin-when-cross-origin
permissions-policy: camera=(), microphone=(), geolocation=()
출력
전체 응답 헤더: 5
감지된 보안 헤더: 5
누락된 권장 헤더: 0
경고: 0

발견 항목:
- 정보: 1년 이상 max-age, includeSubDomains, preload를 포함한 강한 HSTS 정책
- 정보: Content-Security-Policy 헤더 감지
- 정보: x-content-type-options가 nosniff를 사용합니다
- 정보: 프레임 보호 감지
- 정보: Referrer-Policy가 더 엄격한 값을 사용합니다

누락된 응답 보안 헤더 찾기

입력
HTTP/1.1 200 OK
content-type: text/html; charset=utf-8
server: example
출력
전체 응답 헤더: 2
감지된 보안 헤더: 0
누락된 권장 헤더: 6
경고: 5

발견 항목:
- 경고: Strict-Transport-Security 헤더 없음
- 경고: Content-Security-Policy 헤더 없음
- 경고: x-content-type-options nosniff 헤더 없음
- 경고: 프레임 보호 헤더 또는 CSP frame-ancestors 지시문 없음
- 경고: Referrer-Policy 헤더 없음
- 정보: Permissions-Policy가 없습니다

보안 헤더 확인 방식

HTTP 헤더 파서를 재사용해 헤더 이름을 정규화하고 중복 헤더 이름을 감지합니다.

보안 헤더 이름은 대소문자와 무관하게 매칭하며 전송, 콘텐츠와 프레임, 개인정보와 권한, 교차 출처 격리 섹션으로 그룹화합니다.

HSTS max-age는 초 단위로 파싱하고 1년 기준과 비교합니다.

프레임 보호는 X-Frame-Options DENY 또는 SAMEORIGIN, 또는 CSP frame-ancestors 지시문을 허용합니다.

발견 항목은 보수적인 힌트입니다. COOP, CORP, COEP 누락은 애플리케이션 격리 요구사항에 따라 달라지므로 고위험으로 처리하지 않습니다.

자주 묻는 질문

Q.이 도구가 사이트가 안전하다고 인증하나요?

A. 아니요. 이 도구는 응답 헤더에 대한 보수적인 검토 힌트를 보여줍니다. 사이트가 안전하거나 완전하다는 증명을 제공하지 않습니다.

Q.실제 웹사이트를 스캔할 수 있나요?

A. 아니요. curl, DevTools, CDN 로그, 배포 로그, 리버스 프록시 출력에서 복사한 헤더를 붙여넣어야 합니다. 첫 버전은 실제 URL을 가져오지 않습니다.

Q.어떤 헤더를 확인하나요?

A. Strict-Transport-Security, Content-Security-Policy, X-Content-Type-Options, X-Frame-Options 또는 CSP frame-ancestors, Referrer-Policy, Permissions-Policy, COOP, CORP, COEP를 확인합니다.

관련 도구

더 많은 개발자 도구를 둘러보세요

해시 생성기 | MD5, SHA-1, SHA-256, SHA-512

MD5·SHA-1/256/512 해시를 브라우저에서 즉시 계산.

인코딩

JWT 디코더 | JSON Web Token 분석 및 디버깅

JWT를 디코딩해 헤더와 페이로드를 로컬에서 안전하게 확인.

보안

CSP 헤더 분석기 | Content-Security-Policy 헤더 파싱

CSP 헤더를 지시문과 보수적인 보안 검토 힌트로 파싱합니다.

보안

HTTP 헤더 파서 | 요청 및 응답 헤더 확인

원시 HTTP 요청 또는 응답 헤더를 그룹화된 디버깅 출력으로 파싱합니다.

인코딩

URL 파서 | URL 구조 분석 및 파라미터 추출

URL을 프로토콜, 도메인, 경로, 쿼리 파라미터 등으로 분해하여 분석해주는 도구입니다.

변환
모든 도구 둘러보기