현율 웹보안 진단센터 소개
현율 웹보안 진단센터 는 한국 웹 개발자·DevOps·보안 담당자를 위한 무료 공개 HTTP 보안 헤더 진단 서비스입니다. URL 한 줄로 10개 핵심 보안 헤더를 평가하고 A+~F 등급, 한글 수정 가이드를 제공합니다.
결과는 영구 링크로 공유 가능하며, 카카오톡·트위터 공유 시 등급 배지 이미지가 자동으로 표시됩니다.
등급 알고리즘
각 헤더는 가중치가 다르며, 합산 최대 100 점입니다. 헤더가 존재하고 권장값을 만족하면 Pass (가중치 전부), 일부 조건만 충족하면 Warn (가중치의 50 %), 누락 시 Fail (0 점) 입니다.
| 헤더 | 가중치 | 왜 중요한가 |
|---|---|---|
| Content-Security-Policy | 25 | XSS 공격 완화 가장 강력한 방어 |
| Strict-Transport-Security | 20 | HTTPS 강제 — 다운그레이드 차단 |
| X-Frame-Options | 10 | 클릭재킹 방어 |
| Referrer-Policy | 10 | Referer 정보 유출 통제 |
| Permissions-Policy | 10 | 브라우저 기능 권한 선언 |
| X-Content-Type-Options | 5 | MIME sniffing 차단 |
| Cross-Origin-Opener-Policy | 5 | 사이트 격리 / Spectre 완화 |
| Cross-Origin-Embedder-Policy | 5 | 교차 출처 로드 제어 |
| Cross-Origin-Resource-Policy | 5 | 리소스 로드 범위 제한 |
| X-XSS-Protection (legacy) | 5 | 현대 브라우저 권장: 비활성화 |
| 합계 | 100 |
등급 매핑
A+
95 – 100 점
A
85 – 94 점
B
75 – 84 점
C
65 – 74 점
D
55 – 64 점
E
45 – 54 점
F
0 – 44 점
범위 및 제외 사항
- HTTP 응답 헤더만 조회합니다 (공개 정보).
- 취약점 스캔, 포트 스캔, 디렉토리 brute force 는 수행하지 않습니다.
- TLS/SSL 인증서 검사는 SSLLabs 영역이므로 제외합니다.
- 사설·루프백·링크로컬 IP 는 SSRF 방어를 위해 차단됩니다.
- IP 당 1분에 10회 스캔 제한이 있습니다 (Rate Limit).
개인정보
스캔 결과는 영구 저장되며 해시 기반 공유 링크로 재방문할 수 있습니다. 결과에는 공개 HTTP 응답 헤더 정보만 포함되며, 요청자 IP 는 남용 감사용으로만 기록됩니다.