[스프링 시큐리티] HeaderWriterFilter

기본적으로 5개의 header writer 적용

• XContentTypeOptionsHeaderWriter: MIME타입 스니핑 방어
  • X-Content-Type-Options: nosniff
  • https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-Content-Type-Options
• XXssProtectionHeaderWriter: 브라우저에 내장된 XSS 필터 적용
  • X-XSS-Protection: 1; mode=block
  • https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-XSS-Protection
• CacheControlHeadersWriter: 캐시 히스토리 취약점 방어
  • Cache-Control: no-cache, no-store, max-age=0, must-revalidate
• HstsHeaderWriter: https 프로토콜 사용을 강제(https를 사용해야함)
  • https://datatracker.ietf.org/doc/html/rfc6797
• XFrameOptionsHeaderWriter: HTML삽입 취약점 방어로 iframe, object 등을 삽입을 방지함(clickjacking 방어)
  
  • DENY: 컨텐츠를 다른 사이트에서 표현 금지
  • SAMEORIGIN: 동일한 도메인에서만 표현
  • ALLOW-FROM uri: uri에 해당하는 도메인에서만 표현
  • https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-Frame-Options

Cache-Control: no-cache, no-store, max-age=0, must-revalidate
Connection: keep-alive
Content-Language: ko-KR
Content-Type: text/html;charset=UTF-8
Date: Sun, 30 Jan 2022 10:44:37 GMT
Expires: 0
Keep-Alive: timeout=60
Pragma: no-cache
Transfer-Encoding: chunked
X-Content-Type-Options: nosniff
X-Frame-Options: DENY
X-XSS-Protection: 1; mode=block