보안 관련 HTTP 헤더

헤더명	설정 예제	설명
Content-Security-Policy	Content-Security-Policy "default-src 'self'"	용도 : 컨텐츠 허용범위에 대한 정책  이 헤더를 사용하게 잘 돌고 있던 스크립트가 동작을 안할 수 있음. inline-script나 eval 및 css 내부의 data 속성도 동작을 안함. default-src 'self' 'unsafe-inline' 'unsafe-eval' 등 기타 옵션을 통해 해결 할 수 있음. 자세한건 아래 링크 참조. https://www.html5rocks.com/en/tutorials/security/content-security-policy/
X-XSS-Protection	X-XSS-Protection "1; mode=block"	용도 : Cross-Site Scripting Fillter  0 : filter 사용 안함  1 : filter 사용. XSS 공격 감지 시 브라우저에서 페이지를 정제  1; mode=block : XSS 공격 감지 시 브라우가 페이지 렌더링을 막음
X-Content-Type-Options	X-Content-Type-Options "nosniff"	용도 : Content type 노출을 막음
Strict-Transport-Security	Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"	용도 : HTTPS를 통해서만 통신 할 수 있도록 함.  max-age : 적용 기간 설정(초단위, 31536000초는 1년)  includesubdomains : 서브 도메인에도 해동 롤 적용   preload : 브라우저가 이 설정을 기억하여 http접속 시 바로 https로 연결 한다.