[Spring] Spring Security Servlet, HTTP Header

• Spring Security 5.7.1 (Spring Boot 2.7.0)
• Java Servlet Application을 지원
  기본 기능

기본 동작

• 모든 어플리케이션 동작에 인증을 요구함
• 로그인 폼 자동 생성
• BCrypt로 암호 저장소를 보호함
• 로그아웃 기능 지원
• CSRF 방어
• 보안 관련 헤더 지원
  • 참고 : https://velog.io/@yangjunghoon/Spring-Spring-Security

---

HTTP Header

• 보안 관련된 헤더들을 설정할 수 있음
• 참고 : https://velog.io/@yangjunghoon/Web-HTTP-Header

기본 설정

Cache-Control: no-cache, no-store, max-age=0, must-revalidate
Pragma: no-cache
Expires: 0
X-Content-Type-Options: nosniff
Strict-Transport-Security: max-age=31536000 ; includeSubDomains
X-Frame-Options: DENY
X-XSS-Protection: 1; mode=block

Cache Control

• 캐싱을 비활성화함
• 자체적으로 캐시 헤더를 제공하더라도 Security와의 충돌은 없음

Cache-Control: no-cache, no-store, max-age=0, must-revalidate
Pragma: no-cache
Expires: 0

Content Type

• content sniffing 방지

X-Content-Type-Options: nosniff

HSTS

• 1년 동안, 서브 도메인을 포함해 HSTS로 취급
• 참고 : https://velog.io/@yangjunghoon/Web-HSTS

Strict-Transport-Security: max-age=31536000 ; includeSubDomains ; preload

X-Frame-Options

• 불가

X-Frame-Options: DENY

X-XSS-Protection

• 활성화, 렌더링 중단

X-XSS-Protection: 1; mode=block