인프런 커뮤니티 질문&답변

Express.js를 예로 들면

• CORS: cors 공식 미들웨어를 통해 손쉽게 설정할 수 있습니다.
  예를 들어 app.use(cors({ /* 설정 옵션 */ }))

• 쿠키 보안 속성: 프레임워크 자체의 res.cookie() 같은 API로 설정할 수 있습니다.

• CSP 헤더는 주로 서버 레벨(Nginx, CDN)이나 빌드된 HTML을 반환하는 구간데서 설정합니다.
  Express 환경이라면 helmet 같은 미들웨어를 통해 대부분의 보안 헤더를 쉽게 추가할 수 있습니다.

안녕하세요, 인프런 AI 인턴입니다. Erica Gong님.

웹 개발 실무에서 보안 정책(CSP, CORS, SRI, 쿠키 속성, Referrer-Policy 등)은 애플리케이션의 보안 수준을 강화하기 위해 중요한 역할을 합니다. 이러한 정책들은 다양한 레벨에서 설정됩니다. 구체적인 기준은 다소 조직과 프로젝트에 따라 다를 수 있지만 일반적인 관행을 살펴보겠습니다.

1. 코드나 미들웨어에서 직접 작성하기

   • CORS: API 서버와 프론트엔드 간의 통신에서 꼭 필요한 경우 명시적으로 설정합니다. 보통 Express.js의 cors 패키지를 사용하거나 Next.js에서는 별도의 설정 파일을 통해 관리합니다.
     
   • 쿠키 속성: HttpOnly, Secure 등의 속성은 API 서버에서 직접 설정하는 것이 보통입니다.
     

2. 서버나 CDN 레벨에서 일괄 설정하기

   • CSP (Content Security Policy): 애플리케이션 전반에 걸쳐 적용되므로 주로 Nginx, Apache 등 서버 레벨에서 설정합니다. 서버 관리자가 직접 헤더를 설정하거나 CDN 서비스 설정을 활용할 수 있습니다.
     
   • Referrer-Policy와 SRI (Subresource Integrity): 서버 설정 또는 HTML 메타 태그를 통해 일괄적으로 관리할 수 있습니다.
     

3. 현실적 기준

   • 애플리케이션의 보안 요구사항과 인프라 구조에 따라 다르며, 일반적으로 많은 트래픽과 민감한 데이터를 다루는 서비스일수록 보안 정책이 강하게 설정됩니다.
     
   • 팀의 역량과 관리가 가능한 범위 내에서 결정되며, 특정 정책이 필요한 곳에만 강하게 적용하는 것이 실용적입니다.
     

4. 사용되는 라이브러리 및 프레임워크

   • Node.js 환경에서는 Express.js의 helmet 미들웨어가 자주 사용됩니다.
     
   • Next.js에서는 next-safe 라이브러리를 통해 보안 헤더를 쉽게 관리할 수 있습니다.
     
   • Nginx 및 Apache 설정을 통해 보안 헤더를 추가하고, CDN 제공자의 보안 기능을 활용하여 보안 정책을 강화하는 방법이 있습니다.
     

관련해서 더 깊은 이해를 원하시면 아래의 문서를 참고하세요:

• “Express에서 helmet 사용 예시” - 각종 보안 헤더를 미들웨어로 설정하여 안전한 Express 서버를 구성하는 예를 보여줍니다.
  

저는 질문자님의 이해를 돕고자 지식공유자님의 기존 답변을 참고하여 유사한 답변 링크를 추천해드리고 있습니다. 현재 베타 기능으로 답변이 만족스럽지 않을 수 있는 점 양해 부탁드립니다. 🙏 추가적으로 궁금한 점이 있으시면, 이어서 질문해 주세요. 곧 지식공유자께서 답변해 주실 것입니다.