| 헤더 | 효과 |
|---|---|
| HSTS (Strict-Transport-Security) | 1년간 HTTPS 강제, downgrade 공격 차단 |
| X-Frame-Options: SAMEORIGIN | Clickjacking 방지 (외부 iframe 임베드 차단) |
| X-Content-Type-Options: nosniff | MIME 스니핑 차단 (브라우저가 임의 추론 못 하게) |
| X-XSS-Protection: 1; mode=block | 구형 브라우저 XSS 휴리스틱 활성화 |
| server_tokens off | Nginx 버전 정보 응답 헤더에서 제거 |
limit_req_zone $binary_remote_addr zone=api:10m rate=10r/s;
limit_req zone=api burst=20 nodelay;