반응형
Spring Security를 이용하면 기본으로 추가되는 응답 헤더들이 있습니다.
프로젝트에 Spring Security의 적용을 고려하시는 분들은 default 옵션을 알아두시면 도움이 될 것 같습니다.
* X-Content-Type-Options : MIME type sniffing 방지를 위한 헤더,
* X-XSS-Protection : 크로스사이트 스크립팅 관련 헤더
* Cache-Control : 캐시 컨트롤 헤더
* HTTP Strict Transport Security : 웹브라우저가 이 헤더를 받게 되면 특정 '도메인'에 무조건 https로 접속하게 됩니다. http로 접근해도 https로 강제 redirect 됩니다.
* X-Frame-Options : <iframe>, <frame> 태그 등을 이용하는 코드에 대해 보안 설정. default가 'DENY'이기 때문에 Iframe을 이용할 수 없게 됩니다.
https://github.com/spring-projects/spring-security/blob/master/config/src/main/java/org/springframework/security/config/annotation/web/configurers/HeadersConfigurer.java#L732
반응형
'Spring' 카테고리의 다른 글
| [Spring, JPA] junit test 돌릴 때 hibernate query가 노출되지 않는 경우 (0) | 2019.11.06 |
|---|---|
| [Spring] ModelAndView에서 Json 리턴 (0) | 2017.08.08 |
| Spring DispatcherServlet (0) | 2017.03.21 |
| [Spring] AOP CGLIB 프록시 강제 적용 (0) | 2017.03.14 |
| 스프링에서 한글 처리하기 (0) | 2016.09.26 |
