Security.txt 검사기

🔍 공개 URL의 HTTP 응답 헤더를 검사하고 즉각적인 보안, 성능 및 SEO 인사이트를 얻으세요. CSP, HSTS, 쿠키, CORS, 캐싱 및 리디렉션 동작을 한눈에 확인 – 로그인, API 키, 설치 불필요.

Loading…

소개 온라인 HTTP 헤더 분석기

URL을 붙여넣으면 이 도구가 HTTP 응답 헤더를 가져와 목적별(보안, 성능, SEO)로 그룹화하고, 간단한 점수를 계산하며, 문제점, 경고 및 권장 사항을 표시합니다. 본격적인 스캐너를 가동하지 않고도 빠르고 시각적인 '헤더 정상 점검'을 원하는 개발자, SEO 전문가, 데브옵스 및 보안 검토에 완벽합니다.

이 HTTP 헤더 도구가 할 수 있는 일

  • 헤더를 보안, 성능, SEO, 사용 중단 및 기타 그룹으로 분류하여 빠른 스캔 가능
  • 전반, 보안, 성능 및 SEO 헤더에 대한 간단한 점수를 계산하여 한눈에 현황 파악
  • CSP, HSTS, Referrer-Policy, X-Frame-Options, COOP/COEP/CORP 및 Origin-Agent-Cluster와 같은 보안 헤더 강조
  • 누락된 Secure, HttpOnly 또는 SameSite 속성을 식별하기 위해 Set-Cookie 플래그 분석
  • 구현 세부 정보를 누출하는 X-XSS-Protection, X-Powered-By 및 Server 배너와 같은 사용 중단되거나 위험한 헤더 감지
  • Cache-Control, Content-Encoding, ETag, Last-Modified 및 Server-Timing과 같은 성능 헤더 튜닝 지원
  • Link(canonical/alternate) 및 X-Robots-Tag와 같은 SEO 관련 헤더와 존재 시 Content-Language 표시
  • 계정, API 키 불필요 – 공개 URL을 붙여넣고 헤더를 검사하여 구성 반복

🛠️ HTTP 헤더 뷰어 사용 방법 for security-txt-checker

1

1. URL 입력

🔗 유효한 HTTP 또는 HTTPS URL을 입력 필드에 붙여넣으세요. 공개 엔드포인트나 공개된 API가 가장 잘 작동합니다.

2

2. 헤더 가져오기

🌐 백엔드가 URL을 요청하고 가능한 경우 리디렉션을 따라가며 응답 헤더를 수집합니다. 전체 HTML 본문이 아닌 헤더와 기본 메타데이터만 검사됩니다.

3

3. 카테고리 및 점수 검토

🧠 헤더는 보안, 성능, SEO, 쿠키, 사용 중단 및 기타 그룹으로 분류됩니다. 이 도구는 헤더 구성에서 점수, 문제점, 경고 및 권장 사항을 도출합니다.

4

4. 수정 및 재검사

🔁 서버, CDN 또는 리버스 프록시 구성을 조정한 후 점수와 경고가 목표에 맞을 때까지 검사를 다시 실행하세요. 인프라를 변경할 때마다 빠른 피드백 루프로 활용하세요.

기술적 세부사항

요청 및 응답 처리

이 도구는 전체 페이지 콘텐츠보다는 응답 헤더와 기본 연결 메타데이터에 중점을 둡니다.

측면동작참고사항
HTTP 메서드HEAD 또는 GET (구현에 따라 다름)헤더만 검사되며, GET 폴백이 필요한 경우를 제외하고 본문은 무시됩니다.
리디렉션가능한 경우 리디렉션 체인 기록301/302 체인, 표준 대상 및 잘못 구성된 점프를 디버깅하는 데 유용합니다.
HTTP 버전제공된 경우 캡처됨HTTP/1.1 대 HTTP/2/3 설정 및 잠재적 업그레이드 기회 식별에 도움이 됩니다.
서버 배너Server 헤더에서 읽음잠재적 정보 누출(프레임워크, 버전)에 대한 경고에 사용됩니다.
오류 처리오류 필드 별도 표시가져오기가 실패해도 충돌 대신 읽을 수 있는 오류 상태를 얻습니다.

헤더 분류 및 분석

헤더는 정규화된 후 전용 검사 및 힌트가 있는 유형별 그룹으로 분석됩니다.

카테고리일반적인 헤더점검 및 통찰
보안콘텐츠 보안 정책, 엄격한 전송 보안, X-Frame-Options, Referrer-Policy, Permissions-Policy, COOP/COEP/CORP, Origin-Agent-Cluster존재 여부 검증, 약하거나 누락된 지시문 플래그 지정, 안전하지 않은 CSP 패턴 및 개발 출처 감지.
성능캐시 제어, 콘텐츠 인코딩, ETag, 최종 수정일, Accept-Ranges, Link (사전 로드/사전 가져오기), 서버 타이밍캐싱 힌트, 압축, 바이트 범위 지원 및 성능 관련 Link 헤더 점검.
SEOLink (표준/대체), X-Robots-Tag, 콘텐츠 언어헤더 수준에서 표준/대체 힌트 및 로봇 지시문 감지, 존재하는 경우 언어 메타데이터 포함.
쿠키Set-CookieSecure, HttpOnly, SameSite 속성 검색 및 플래그가 누락되거나 약해 보일 때 경고.
사용 중단됨X-XSS-Protection, 공개 키 고정, 레거시 CSP 변형제거되거나 현대적 대안으로 교체되어야 할 헤더 플래그 지정.

점수 산정 모델

점수는 휴리스틱 방식으로, 완전한 보안 감사는 아니지만 작업 우선순위 설정 및 환경 비교에 도움이 됩니다.

점수측정 항목계산 방식
종합 점수일반 헤더 상태모든 가중치가 적용된 헤더 간 비율 – 주로 존재 기반에 약간의 가중치 적용.
보안 점수보안 관련 강화CSP, HSTS, 프레임 제어, Referrer-Policy, Permissions-Policy, COOP/COEP/CORP 및 Origin-Agent-Cluster에 가중치 적용.
성능 점수캐싱 및 전송 효율성캐시 제어, 콘텐츠 인코딩, ETag, 최종 수정일, Accept-Ranges, 서버 타이밍 및 성능 관련 Link 사용에 가중치 적용.
SEO 점수헤더 수준 SEO 신호X-Robots-Tag, 표준/대체 Link 헤더 및 존재 시 콘텐츠 언어에 가중치 적용.

헤더 검사를 위한 CLI 대안

터미널을 선호하거나 CI/CD에 헤더 점검을 통합하시나요? 이 도구의 로컬 동반자로 다음 명령어를 사용하세요:

Linux/macOS

curl을 사용한 응답 헤더 보기

curl -I https://example.com

HEAD 요청을 보내고 빠른 상태 점검을 위해 응답 헤더를 출력합니다.

헤더 및 TLS 협상이 포함된 상세 출력

curl -v https://example.com

리디렉션, TLS 구성 및 연결 세부 정보를 디버깅할 때 유용합니다.

Windows (PowerShell)

Invoke-WebRequest로 헤더 가져와서 검사하기

(Invoke-WebRequest -Uri https://example.com).Headers

헤더를 PowerShell 객체로 표시하여 추가 필터링이나 스크립팅에 바로 사용할 수 있습니다.

실용적인 활용 사례

보안 헤더 검토

  • 주요 엔드포인트에서 누락된 CSP, HSTS, Referrer-Policy 또는 Permissions-Policy 헤더를 확인하세요.
  • nonce나 해시 없이 'unsafe-inline'과 같은 안전하지 않은 CSP 지시문을 탐지하세요.
  • Secure 또는 SameSite 속성이 누락된 쿠키를 발견하고 세션 강화를 위한 수정 계획을 세우세요.

성능 및 캐싱 진단

  • 정적 및 동적 경로 전반에 걸친 Cache-Control, ETag 및 Content-Encoding 구성을 검사하세요.
  • CDN에서 제공하는 preload 또는 preconnect Link 헤더와 같은 성능 힌트의 존재를 확인하세요.
  • 스테이징, 프리뷰 및 프로덕션 환경 간의 성능 관련 헤더를 비교하세요.

SEO 및 리디렉션 체인 분석

  • 301/302 리디렉션 체인을 검사하고 최종 도착 URL이 표준적이고 안전한지 확인하세요.
  • HTML 페이지 또는 지역화된 버전의 표준 및 대체 Link 헤더를 확인하세요.
  • 색인 생성, 스니펫 동작 및 미디어 처리를 위한 X-Robots-Tag 지시문을 검증하세요.

❓ Frequently Asked Questions

HTTP 응답 헤더란 무엇이며 왜 중요한가요?

HTTP 응답 헤더는 서버가 본문을 보내기 전에 전송하는 키-값 쌍입니다. 이들은 캐싱, 보안 정책, 리디렉션, CORS, 쿠키 및 브라우저와 크롤러가 사이트를 해석하는 방식을 제어합니다. 이를 올바르게 설정하는 것은 보안, 성능 및 SEO에 매우 중요합니다.

🔒제가 테스트하는 URL이 어딘가에 저장되나요?

이 도구는 URL을 조회를 수행하고 페이지 내 분석을 구축하는 데만 사용하도록 설계되었습니다. 장기적인 프로필로 유지하기 위한 것이 아닙니다. 모든 온라인 도구와 마찬가지로, 절대 노출되어서는 안 되는 매우 민감한 내부 전용 엔드포인트는 테스트하지 마세요.

🧪이 도구로 API 응답을 검사할 수 있나요?

예, API 엔드포인트가 요청을 수행하는 서버에서 공개적으로 접근 가능한 경우 사용할 수 있습니다. 이는 특히 JSON 또는 XML APICORS 헤더, 속도 제한 힌트, 캐시 동작 및 콘텐츠 유형을 검사하는 데 유용합니다.

🕵️‍♂️인증이 필요한 페이지에서도 작동하나요?

일반적으로는 아닙니다. 로그인 세션, VPN 또는 특별한 헤더가 필요한 엔드포인트는 일반 요청에 의미 있는 결과를 반환하지 않습니다. 비공개 리소스의 경우 브라우저 개발자 도구나 인증된 스크립트를 사용하세요.

📈점수는 완전한 보안 감사인가요?

아닙니다. 점수는 누락되거나 약한 헤더를 빠르게 발견하는 데 도움을 주는 휴리스틱입니다. 침투 테스트, 취약점 스캔 또는 수동 보안 검토를 대체하지는 않지만, 훌륭한 첫 번째 정성 검사 및 환경 간 비교 도구입니다.

Pro Tips

CI Tip

스테이징, 프리뷰, 프로덕션 환경 간 헤더를 비교하여 특정 환경에서 누락된 보안 강화 또는 캐싱 규칙을 발견하세요.

Best Practice

Server 및 X-Powered-By 헤더를 정보 유출로 간주하세요 – 가능하면 프로덕션 환경에서 제거하거나 최소화하세요.

Best Practice

정적 자산에 대해 Cache-Control 및 Content-Encoding을 먼저 조정하세요 – 이는 종종 최소한의 위험으로 가장 큰 성능 향상을 제공합니다.

Best Practice

주요 인프라 변경(CDN, 리버스 프록시, TLS 오프로드, 새 호스트) 후에 이 도구를 실행하여 헤더가 여전히 올바르게 보이는지 확인하세요.

Additional Resources

MDN: HTTP 헤더 참조
Documentation
OWASP 보안 헤더 프로젝트
Documentation

Other Tools

HTTP 헤더 뷰어 & 보안 분석기 – 헤더 검사, 점수 평가 및 디버깅 | Encode64