-
톰캣기술지원 - Tomcat 보안 Header 설정 추가WEBWAS/Apache,Tomcat 2025. 8. 25. 14:42
안녕하세요
이번 시간에는 Tomcat에 보안 Header 설정을 추가하는 방법을 알아보겠습니다
Tomcat 서비스를 운영할 경우에는 각종 보안 취약점에 대한 강화를 위해 Header 설정이 추가가 필요할 수 있습니다.
단 추가시에는 보안 설정으로 인한 서비스 기능에 제한이 없는지 필수로 확인이 필요합니다
아래 몇가지 예시를 알아보겠습니다
1. X-Frame-OPTIONS:SAMEORIGIN
-. 해당 Header는 FrameSet이나 iframe 등에 의한 클릭 재킹에 대한 보호를 제공합니다. SAMEORIGIN으로 설정시 같은 사이트만 허용하게 됩니다.
Tomcat 에서는 HttpHeaderSecurityFilter를 통해 설정이 가능합니다.
ex) ${CATALINA_HOME}/conf/web.xml<filter> <filter-name>HeaderSecurityFilter</filter-name> <filter-class>org.apache.catalina.filters.HttpHeaderSecurityFilter</filter-class> <init-param> <param-name>antiClickJackingOption</param-name> <param-value>SAMEORIGIN</param-value> </init-param> </filter> <filter-mapping> <filter-name>HeaderSecurityFilter</filter-name> <url-pattern>/*</url-pattern> </filter-mapping>
-. 적용 후 개발자도구 확인시 아래와 같이 추가되었음을 확인 가능합니다.
2. Strict-Transport-Security
-. 해당 설정을 할 경우 웹 서버 접속시 HTTPS 프로토콜의 사용을 강제하는 기능입니다. 리다이렉트 기능과 차이가 있다면 HTTP 통신을 진행하지 않기 때문에 보안 측면에서 좀더 강하다는 점이 있습니다.
<filter> <filter-name>HeaderSecurityFilter</filter-name> <filter-class>org.apache.catalina.filters.HttpHeaderSecurityFilter</filter-class> <init-param> <param-name>hstsEnabled</param-name> <param-value>true</param-value> </init-param> <init-param> <param-name>hstsMaxAgeSeconds</param-name> <param-value>31536000</param-value> </init-param> <init-param> <param-name>hstsIncludeSubDomains</param-name> <param-value>true</param-value> </init-param> </filter> <filter-mapping> <filter-name>HeaderSecurityFilter</filter-name> <url-pattern>/*</url-pattern> </filter-mapping>
-> 위와 같이 설정시 31536000초 동안 보안 정책을 적용하며 서브도메인에도 해당 설정이 반영됩니다.
-. https로 접속 후 개발자도구 확인시 아래와 같이 적용 확인이 가능합니다
(주)제스트정보기술은 20년 이상의 인프라구축 경험을 통하여
오픈소스 기반 OS, WEB/WAS, DBMS 기술지원, 유지보수 서비스를
제공하고 있습니다.
오직 고객 가치 중심의 최상의 솔루션과 서비스를 제공하개 위해
노력 하겠습니다.
<오픈소스 기술지원 문의>
영업지원 : sales@xest.kr,
전화번호 : 02-558-5918
홈페이지 : http://www.xest.kr'WEBWAS > Apache,Tomcat' 카테고리의 다른 글
내 서버의 보안 등급을 확인하는 법 feat. ssllabs (0) 2025.10.15 오픈소스기술지원 - IBM JDK의 JCE Provider에 관하여 (2) 2025.08.18 [오픈소스 기술지원 전문] 한국OOOO재단 - NginX, Tomcat 재구축 사업 계약 (0) 2024.06.27 <Apache-Tomcat>아파치 톰캣 기술지원 전문기업 (주)제스트정보기술 - LB + tomcat 환경에서 실제 client IP 로깅하기 (0) 2024.05.30 <Apache-Tomcat>아파치 톰캣 기술지원 전문기업 (주)제스트정보기술 - JVM DNS Cache 설정 (0) 2024.05.20