| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | |||
| 5 | 6 | 7 | 8 | 9 | 10 | 11 |
| 12 | 13 | 14 | 15 | 16 | 17 | 18 |
| 19 | 20 | 21 | 22 | 23 | 24 | 25 |
| 26 | 27 | 28 | 29 | 30 | 31 |
- SQL
- 2주차
- Get
- 웹 스크래핑(크롤링)
- Sequelize
- 노드 윈스턴
- node winston
- 스파르타코딩클럽
- nginx
- 항해99
- MongoDB
- db
- 부트스트랩
- cors
- NoSQL
- 3주차
- 4주차
- JWT
- 5주차
- 개발일지
- 1주차
- 비동기
- 트랜잭션
- Transaction
- Node.js
- post
- OpenAPI
- HTTPS
- 숙제
- 위키백과
- Today
- Total
얼음꽃의 일지
방탄 Helmet 본문
Helmet은 Express로 만들어진 웹 사이트의 보안을 강화하기 위해 사용되는 모듈입니다.
npm install helmet
const helmet = require("helmet");
// 헬멧의 모든 기능 사용
app.use(helmet());
// 헬멧의 특정 기능 사용
app.use(helmet.contentSecurityPolicy());
app.use(helmet.dnsPrefetchControl());
app.use(helmet.expectCt());
app.use(helmet.frameguard());
app.use(helmet.hidePoweredBy());
app.use(helmet.hsts());
app.use(helmet.ieNoOpen());
app.use(helmet.noSniff());
app.use(helmet.permittedCrossDomainPolicies());
app.use(helmet.referrerPolicy());
app.use(helmet.xssFilter());
각 기능이 무엇을 보호하는지?
세부적인 미들웨어 함수들을 포함하고있는 헬멧은 다음과 같은 기능이 있다.
1. csp
csp는 Content-Security-Policy이다. 브라우저에서 사용하는 컨텐츠 기반의 보안 정책으로 XSS나 Data Injection, Click Jacking 등 웹 페이지에 악성 스크립트를 삽입하는 공격기법들을 막기 위해 사용된다.
2. hidePoweredBy
헤더에서 X-Powered-By를 제거한다. 이는 서버에 대한 정보를 제공해주는 역할로 나 같은 경우는 이 영역에 Express라고 표기됨을 확인할 수 있었다. 이 정보는 악의적으로 활용될 가능성이 높기에 헬멧을 통해서 제거해 주는 것이 좋다.
3. HSTS
HTTP Strict Transport Security의 약자로 웹 사이트에 접속할 때 강제적으로 HTTPS로 접속하게 강제하는 기능이다.
사용자가 특정 사이트에 접속할 때 해당 사이트가 HTTPS를 지원하는지, 하지 않는지를 미리 모르는 경우가 대부분이다. 그렇기에 브라우저는 디폴트로 HTTP로 먼저 접속을 시도한다. 이때 HTTPS로 지원되는 사이트였다면 301Redirect나 302 Redirect를 응답하여 HTTPS로 다시 접속하도록 한다.
하지만 이때 해커가 중간자 공격을 하여, 중간에 프록시 서버를 두고
[나] <-> [해커] 사이에서는 HTTP 통신을 하고 [해커] <-> [웹사이트] 사이에선 HTTPS 통신을 한다면,
우리의 개인정보가 HTTP 프로토콜을 통해 해커에게로 전해지는 참사가 일어난다.
이러한 공격을 SSL Stripping이라고 하며 이런 공격을 방지하기 위해 HSTS를 설정한다.
4. IeNoOpen
IE8 이상에 대해 X-Download-Options를 설정한다. 이 옵션은 8 버전 이상의 인터넷 익스플로러에서 다운로드된 것들을 바로 여는 것 대신 저장부터 하는 옵션이다. 사용자는 저장부터 하고 다른 응용프로그램에서 열어야 한다.
5. noCache
클라이언트 측에서 캐싱을 사용하지 않도록 하는 설정이다.
6. noSniff
X-Content-Type-Options 를 설정하여 선언된 콘텐츠 유형으로부터 벗어난 응답에 대한 브라우저의 MIME 스니핑을 방지한다. MIME이란 Multipurpose Internet Mail Extensions의 약자로 클라이언트에게 전송된 문서의 다양성을 알려주기 위한 포맷이다. 브라우저는 리소스를 내려받을 때 MIME 타입을 보고 동작하기에 정확한 설정이 중요하다.
MIME 스니핑이란 브라우저가 특정 파일을 읽을 때 파일의 실제 내용과 Content-Type에 설정된 내용이 다르면 파일로 부터 형식을 추측하여 실행하는 것인데, 편리함을 위한 기능이지만 공격자에게 악용 될 가능성이 있다.
7. frameguard
X-Frame-Options 헤더를 설정하여 클릭재킹에 대한 보호를 제공한다.
클릭재킹이란 사용자가 자신이 클릭하고 있다고 인지하는 것과 다른 것을 클릭하도록 하여 속이는 해킹 기법이다. 속이기 위해 보이지 않는 레이어에 보이지 않는 버튼을 만드는 방법이 있다.
8. xssFilter
xss필터는 xss필터.
참고
https://expressjs.com/en/advanced/best-practice-security.html
Security Best Practices for Express in Production
Production Best Practices: Security Overview The term “production” refers to the stage in the software lifecycle when an application or API is generally available to its end-users or consumers. In contrast, in the “development” stage, you’re stil
expressjs.com
Helmet
Helmet helps you secure your Express apps by setting various HTTP headers. It's not a silver bullet, but it can help! Quick start First, run npm install helmet --save for your app. Then, in an Express app: const express = require("express"); const helmet =
helmetjs.github.io
'항해 일지' 카테고리의 다른 글
| OSI 7계층, TCP/IP 5계층 (0) | 2022.12.13 |
|---|---|
| 소셜 로그인(카톡, 구글, 네이버) (0) | 2022.12.10 |
| WebSocket 과 Socket.io (0) | 2022.12.06 |
| PM2 (0) | 2022.12.05 |
| 계층형 아키텍처 패턴 (0) | 2022.12.01 |
