X-Xss-Protection 1; mode=block, XSS 취약점 보완

X-Xss-Protection 1; mode=block

 

X-Xss-Protection 1 : [1] XSS 필터 활성화, [0] XSS 필터를 비활성화

mode=block : XSS 공격이 감지되었을 때 브라우저 페이지의 랜더링을 방지

report=url : 페이지를 정제하고 위반사항을 보고한다

 

인터넷 익스플로러, 구글 크롬, 사파리 등 대표적인 웹 브라우저에서 지원하고 있지만

전체 웹브라우저에서 지원하는 것도 아니고,

 

이 또한 우회하는 방법이 있으며 사용자가 웹브라우저 설정에서 해제할 수도 있기 때문에 보조적인 수단으로 사용한다고 보면 될 것 같습니다.

 

 

X-Content-Type-Options : nosniff

 

MIME Sniffing 을 차단하기 위해 사용하는 헤더로 Content-Type 에 설정된 내용과 같은 경우에만 코드가 실행됩니다.

예를 들어 이미지 파일내에 코드를 심었더라도 이미지 파일로만 처리되고 공격 코드가 실행되지 않도록 하는 것입니다.

 

 

"XSS 는 웹사이트와 웹사이트 간의 스크립팅으로 크로스 사이트 스크립팅으로 Cross-Site Scripting 입니다.

웹 애플리케이션 취약점의 하나로 웹사이트에 악성 스크립트를 삽입하여 사용자 정보를 취득하거나 웹사이트가 비정상적인 동작을 할 수 있도록 할 수 있습니다."