HSTS

브라우저에게 ‘앞으로는 무조건 HTTPS로만 접속하라’고 강제하는 보안 정책(Strict-Transport-Security)

분야: 보안/인증 시리즈: HTTP 헤더 httpstlssecurityhttp

HSTS(HTTP Strict Transport Security)Strict-Transport-Security 응답 헤더로 설정합니다. 브라우저가 한 번 HSTS를 학습하면, 이후에는 HTTP로 접속하려 해도 자동으로 HTTPS로만 시도합니다.

장점

  • SSL 스트립핑(중간자 공격) 위험을 줄입니다.
  • 사용자 입장에서 “항상 HTTPS”가 기본값이 됩니다.

주의점 (중요)

  • HSTS는 캐시에 남습니다. 설정을 잘못하면 “되돌리기”가 어렵습니다.
  • includeSubDomains를 쓰기 전에, 모든 서브도메인이 HTTPS를 지원하는지 확인해야 합니다.
  • preload는 더 강력하지만, 등록/해제 절차가 있으니 신중히 적용합니다.

예시

Strict-Transport-Security: max-age=31536000; includeSubDomains

관련 문서

Brute force
비밀번호/토큰을 무차별 대입으로 맞추려는 공격(로그인/OTP/리셋 링크)
Cache-Control
브라우저/프록시/CDN 캐시 정책을 지정하는 HTTP 헤더
Content-Security-Policy (CSP)
XSS를 줄이기 위해 ‘어떤 리소스를 어디서 로드해도 되는지’를 선언하는 보안 정책(HTTP 헤더)
CORS
브라우저가 다른 오리진으로 요청할 때 적용되는 접근 제어 메커니즘
CSRF
인증된 사용자의 권한으로 원치 않는 요청을 보내게 하는 공격
ETag
캐시 재검증을 위한 리소스 버전 식별자(HTTP 헤더)