HTTP 응답 헤더를 통해 브라우저의 보안 기능을 활성화하여 웹 애플리케이션을 다양한 공격으로부터 보호합니다.

측정 도구: Node.js 기반 자체 개발 스크립터 (axios HTTP 클라이언트 활용)
테스트 목적: XSS, 클릭재킹, MIME 스니핑, 정보 유출 등 주요 웹 취약점 방어 수준 평가

검사 항목:
• Content-Security-Policy (CSP) – 리소스 로드 출처를 제한, XSS·서드파티 스크립트 악용 방지
• X-Frame-Options / frame-ancestors – iframe 삽입 차단, 클릭재킹·피싱형 오버레이 방지
• X-Content-Type-Options – MIME 스니핑 차단, 잘못된 실행 취약점 방어
• Referrer-Policy – 외부 전송 시 URL 정보 최소화, 개인정보·내부경로 노출 방지
• Permissions-Policy – 위치·마이크·카메라 등 브라우저 기능 제한, 프라이버시 보호
• Strict-Transport-Security (HSTS) – HTTPS 강제, 중간자 공격·다운그레이드 방지

설정 위치: CDN(Cloudflare) · 웹서버(Nginx/Apache) · 앱(Laravel 등)
모든 헤더가 함께 적용될 때 가장 강력한 보안 효과를 발휘합니다.