쿠키에 httpOnly 속성을 부여하게 되면, 자바스크립트에서 접근이 불가능하므로 세션 토큰 탈취 등의 위험을 줄일 수 있다.
X-XSS-Protection 헤더X-XSS-Protection 헤더를 사용하면 HTML의 인라인 스크립트 태그의 수상한 패턴을 감지하여 브라우저가 거부할 수 있도록 힌트를 제공할 수 있다. 단순히 패턴에 의한 검사이므로 문제가 없는 코드를 문제가 있다고 잘못 판정할 수 도 있다.
X-XSS-Protection: 1; mode=block
Content-Security-Policy 헤더 (CSP)Content-Security-Policy 헤더는 웹사이트에서 사용할 수 있는 보안관련 정책을 제어할 수 있는 기능이다. 그러나 강력한 보안설정을 할 경우 사이트 이용에 문제가 생길 수 있기 때문에 확인 후 적절한 조치를 취해야한다. Content-Security-Policy-Report-Only 헤더를 사용하면 검사만 수행하고 오류가 있을 경우 리포트를 받을 수도 있다.
base-uri: 도큐먼트의 base URIchild-src: iframe, frame, 웹워커로 이용할수 있는 URLconnect-src: XMLHttpRequest, 웹소켓, EventSource 등으로 연결할수 있는 출처font-src: 웹폰트로 로드할 수 있는 출처img-src: 이미지, 파비콘을 로드할 수 있는 출처media-src: 오디오, 비디오를 로드할 수 있는 출처script-src: 자바스크립트를 로드할 수 있는 출처style-src: 스타일시트를 로드할 수 있는 출처object-src: 플래시, 자바애플릿 등 플러그인에 대한 제어# 예제
Content-Security-Policy: img-src 'self' data: blob: filesystem:;
media-src mediastream:;
script-src 'self' <https://cdn.example.com>