The response does not include either Content-Security-Policy with 'frame-ancestors' directive or X-Frame-Options to protect against 'ClickJacking' attacks.

The response does not include either Content-Security-Policy with 'frame-ancestors' directive or X-Frame-Options to protect against 'ClickJacking' attacks.

---

위 문구는 웹 취약점 점검결과로 나온 문구로, 웹 응용 프로그램이 적절한 보안 헤더를 포함하지 않아 'ClickJacking' 공격에 노출될 수 있다는 것을 나타냅니다. 

'ClickJacking'은 악의적인 웹 사이트가 사용자의 클릭을 다른 곳으로 리디렉션하여 사용자의 동의 없이 악성 작업을 수행할 수 있는 공격 유형입니다.

취약점으로 인해 악의적인 사용자가 올바른 권한 없이 다른사용자의 클릭 액션을 트리거하거나 부정한 동작을 유도할 수 있습니다. 이는 사용자가 의도하지 않은 행동을 하도록 만들거나, 악의적인 스크립트를 실행하거나, 개인 정보를 노출시킬 수 있습니다.

이를 방지하기 위해, 'Content-Security-Policy' 헤더 또는 'X-Frame-Options' 헤더를 설정해야 합니다.
아래와 같이 설정하면 'ClickJacking' 공격에 대한 보호가 적용되어 사용자가 클릭 재킹 공격에 노출되지 않도록 보호될 수 있습니다.

HTML에서 설정하는 방법

<!DOCTYPE html>
<html>
<head>
    <meta http-equiv="Content-Security-Policy" content="frame-ancestors 'self'">
    <!-- Your other meta tags and head content here -->
</head>
<body>
    <!-- Your page content here -->
</body>
</html>

JSP 및 Servlet에서 설정하는 방법

 

#JSP
<%
    response.setHeader("Content-Security-Policy", "frame-ancestors 'self'");
%>


#Servlet
public class YourServlet extends HttpServlet {
    protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
        response.setHeader("Content-Security-Policy", "frame-ancestors 'self'");
        // Your other servlet code here
    }
}

웹 서버에서 설정하는 방법

Apache의 경우, .htaccess 파일에 다음을 추가합니다

 

<IfModule mod_headers.c>
   Header set Content-Security-Policy "frame-ancestors 'self'"
</IfModule>

Nginx의 경우, 설정 파일에 다음을 추가합니다

add_header Content-Security-Policy "frame-ancestors 'self'";