win-j 로고
자유로운 블로그

Developer Network Utility

HTTP Header 분석기

HTTP 응답 헤더를 붙여넣으면 보안 헤더, 캐시 정책, CORS 설정, 콘텐츠 타입, 쿠키 보안 옵션을 한 번에 점검할 수 있는 개발자용 Header 분석 도구입니다.

보안 헤더 점검 HSTS, CSP, X-Frame-Options, Referrer-Policy 등 주요 보안 헤더를 확인합니다.
캐시 정책 분석 Cache-Control, ETag, Expires 설정을 확인해 정적 파일과 HTML 캐시 상태를 점검합니다.
CORS·쿠키 확인 Access-Control 헤더와 Set-Cookie의 Secure, HttpOnly, SameSite 옵션을 함께 확인합니다.

HTTP Header 입력

브라우저 개발자 도구 Network 탭 또는 curl -I 결과에서 응답 헤더를 복사해 붙여넣으세요.

분석 기준 응답 헤더 이름은 대소문자를 구분하지 않고 분석합니다.
권장 점검 보안 헤더, 캐시 헤더, CORS, 쿠키 옵션을 종합해 점수를 계산합니다.
Header 분석 점수 0점

응답 헤더를 입력한 뒤 분석을 실행하세요.

0%

분석 결과

주요 HTTP Header의 존재 여부와 권장 상태를 양호, 주의, 위험 기준으로 확인합니다.

대기 중
아직 분석 결과가 없습니다.

파싱된 Header

입력된 응답 헤더를 key-value 형태로 정리해 보여줍니다.

아직 파싱된 헤더가 없습니다.

상세 리포트

분석 결과를 복사하거나 다운로드해 서버 설정 개선 체크리스트로 사용할 수 있습니다.

HTTP 응답 헤더를 입력한 뒤 HTTP Header 분석하기 버튼을 눌러주세요.

Header 점검 항목 비교

HTTP Header는 보안, 캐시, CORS, 쿠키 정책처럼 운영 품질과 직접 연결되는 항목을 포함합니다.

보안 Header

HSTS, CSP, X-Frame-Options, X-Content-Type-Options는 HTTPS 강제, 클릭재킹 방지, MIME 스니핑 방지에 도움을 줍니다.

캐시 Header

Cache-Control, ETag, Expires는 브라우저 캐시와 CDN 캐시 전략을 판단하는 데 사용됩니다.

CORS·Cookie

Access-Control-Allow-Origin과 Set-Cookie 옵션은 외부 요청 허용 범위와 세션 보안 상태를 확인할 때 중요합니다.

도움말

HTTP Header 분석기란?

HTTP Header 분석기는 웹사이트 응답 헤더를 붙여넣어 보안, 캐시, CORS, 콘텐츠 타입, 쿠키 보안 설정을 빠르게 점검할 수 있는 무료 개발자 유틸리티입니다.

Nginx, Apache, Django, Node.js, CDN, 리버스 프록시 설정을 점검하거나 배포 전 보안 헤더 누락 여부를 확인할 때 활용할 수 있습니다.

주요 점검 항목

  • Strict-Transport-Security: HTTPS 강제 사용 여부
  • Content-Security-Policy: 스크립트, 이미지, 프레임 출처 제한
  • X-Frame-Options: 클릭재킹 방지
  • X-Content-Type-Options: MIME 타입 스니핑 방지
  • Referrer-Policy: 외부 이동 시 referrer 전달 범위 제어
  • Permissions-Policy: 브라우저 기능 사용 권한 제한
  • Cache-Control: 브라우저 캐시 정책
  • Set-Cookie: Secure, HttpOnly, SameSite 옵션 확인

이런 작업에 활용할 수 있습니다

  • 웹사이트 배포 전 보안 헤더 누락 점검
  • Nginx 또는 Apache 응답 헤더 설정 확인
  • Django, Node.js, Spring 서비스의 보안 헤더 확인
  • CDN 적용 후 캐시 정책 확인
  • CORS 오류 원인 점검
  • 쿠키 보안 옵션 확인
HTTP Header는 어디서 확인할 수 있나요?

브라우저 개발자 도구의 Network 탭에서 요청을 선택한 뒤 Response Headers를 복사하거나, 터미널에서 curl -I https://example.com 명령으로 확인할 수 있습니다.

HSTS는 무조건 켜도 되나요?

HSTS는 HTTPS 사용을 강제하는 강력한 보안 헤더입니다. 사이트 전체가 HTTPS로 안정적으로 동작하고 하위 도메인까지 문제가 없을 때 적용하는 것이 좋습니다. 잘못 적용하면 HTTP 접근이 필요한 하위 도메인에 문제가 생길 수 있습니다.

CSP가 없으면 위험한가요?

Content-Security-Policy는 XSS 공격 완화에 도움을 주는 중요한 보안 헤더입니다. 다만 서비스에서 사용하는 스크립트, 이미지, CDN 출처를 정확히 파악한 뒤 점진적으로 적용하는 것이 안전합니다.

Cache-Control은 어떻게 설정해야 하나요?

이미지, CSS, JS 같은 정적 파일은 긴 캐시를 사용할 수 있지만, HTML이나 사용자별 응답은 짧은 캐시 또는 no-cache 전략이 필요할 수 있습니다. 콘텐츠 종류와 배포 방식에 따라 정책을 다르게 설정하는 것이 좋습니다.

CORS에서 Access-Control-Allow-Origin: * 설정은 안전한가요?

공개 API나 정적 리소스라면 사용할 수 있지만, 인증 정보가 포함되는 요청에는 신중해야 합니다. 쿠키나 인증 토큰이 필요한 API는 허용할 origin을 명확히 제한하는 것이 좋습니다.

Set-Cookie 보안 옵션은 왜 중요한가요?

Secure는 HTTPS에서만 쿠키를 전송하게 하고, HttpOnly는 JavaScript에서 쿠키 접근을 제한하며, SameSite는 CSRF 위험을 줄이는 데 도움을 줍니다.

이 도구만으로 보안 점검이 완료되나요?

이 도구는 입력한 HTTP Header 텍스트를 기준으로 빠르게 점검하는 보조 도구입니다. 실제 보안 수준은 서버 설정, 애플리케이션 코드, 인증 방식, 쿠키 정책, HTTPS 구성까지 함께 확인해야 합니다.