오늘은 Apache HTTP Server 에 설정할 수 있는 몇가지 헤더 관련 보안 설정들을 적어봅니다.
 
 

1. 세션 쿠키에서 HttpOnly 속성 제거

 1) 우선 mod_headers 가 enable 되어 있어야 하겠죠?
 2) httpd.conf 파일에 아래와 같이 설정해줍니다.
  Header edit Set-Cookie ^(.*)$ $1;HttpOnly;Secure
 

2. Apache Clickjacking 공격 차단 방법

  : Clickjacking 이란? (2008년 Robert Hansen, Jeremiah Grossman 발표)

  Click + Hijacking 의 합성어로 ClickJacking 또는 UI Redress 공격이라 부르기도 합니다.
  클릭할 경우 공격자가 지정한 페이지로 넘어가거나 정보 탈취한다고 하죠!

 1) 역시 header 모듈 enable 되었는지 확인하시고,
 2) httpd.conf 에 아래 설정 추가해줍니다.
  Header always append X-Frame-Options SAMEORIGIN
 

3. X-XSS 공격 차단 방법

 이 역시 스텝은 같고요~ 아래와 같이 설정해줍니다.
 이렇게 설정하면 브라우저가 XSS 공격을 감지하면 자동으로 페이지 로드 자체를 block 해줍니다.
  Header set X-XSS-Protection "1; mode=block"