nginx: 보안 헤더 기본 세트(CSP 포함)

XSS/클릭재킹/콘텐츠 스니핑 등을 줄이기 위한 기본 보안 헤더 템플릿

분야: DevOps/인프라 nginxsecurityheaderscsp

보안 헤더는 “문제를 해결”한다기보다, 문제가 생겼을 때 피해를 줄이는 기본값입니다. 서비스 특성에 맞게 조정하되, 기본 세트를 먼저 적용하고 점진적으로 강화하는 방식이 안전합니다.

관련 용어: Content-Security-Policy (CSP), HSTS

기본 헤더 예시

add_header X-Content-Type-Options "nosniff" always;
add_header X-Frame-Options "SAMEORIGIN" always;
add_header Referrer-Policy "no-referrer-when-downgrade" always;
add_header Permissions-Policy "geolocation=(), microphone=(), camera=()" always;

CSP 예시(템플릿)

서비스에 맞는 출처 allowlist로 반드시 조정합니다.

add_header Content-Security-Policy "default-src 'self'; img-src 'self' https: data:; script-src 'self'; style-src 'self' 'unsafe-inline'" always;

같은 분야의 템플릿

Dockerfile: Node 프로덕션 기본 패턴
멀티스테이지 빌드로 이미지 크기를 줄이는 기본 예시
journalctl: systemd 서비스 장애 디버깅
status/journalctl로 장애 원인을 빠르게 좁히는 실무 명령어 모음
nginx: ACME(Let’s Encrypt) webroot 챌린지 설정
/.well-known/acme-challenge/ 경로만 안전하게 열어 certbot/ACME HTTP-01을 통과시키는 패턴
nginx: 서브패스(/admin)에서 SPA 서빙 (alias + fallback)
/admin 아래에 React/Vue SPA를 배포할 때 새로고침 404를 막는 alias/try_files 패턴
nginx: 민감 파일(.env/.git/백업) 차단
실수로 웹루트에 올라온 시크릿/백업이 유출되지 않도록 기본 차단 룰을 추가
nginx: bot/스크래퍼 차단 (map 기반)
User-Agent 패턴을 map으로 분류하고, 필요한 엔드포인트만 보수적으로 차단하는 방법