NetEscapades.AspNetCore.SecurityHeaders 1.0.0이 릴리스되었습니다. | Andrew Lock


요약

  • 지원 프레임워크
    • .NET Core 3.1 이상만 지원, .NET Framework 및 netstandard2.0 이하 지원 중단
  • 기본 적용 헤더 변경
    • Cross-Origin-Opener-Policy, Cross-Origin-Embedder-Policy, Cross-Origin-Resource-Policy 기본 적용 추가
    • X-XSS-Protection, Expect-CT, Feature-Policy는 더이상 추천하지 않고 obsolete 처리
  • API/유틸리티 메서드 추가
    • AddDefaultApiSecurityHeaders(): API 서버에 적합한 보안 헤더 세트 간편 적용
    • PermissionsPolicyBuilder.AddDefaultSecureDirectives(): 권장 Permissions-Policy 일괄 적용
    • Content-Security-Policy에 Trusted Types(크롬 전용) 지원 추가
  • 엔드포인트/요청별 보안정책 적용
    • 엔드포인트마다 다른 헤더 정책 적용 가능 (.WithSecurityHeadersPolicy)
    • SetPolicySelector()로 요청별로 완전히 맞춤형 정책 적용 가능
  • Document Headers 기능 제거
    • (HTML/문서형 응답에만 헤더 적용하던 기능은 삭제, 항상 모든 응답에 헤더 적용)
  • Nonce 생성 방식 변경
    • 필요 시에만 1회 생성하는 방식(Lazy)으로 변경
  • 소프트웨어 공급망 보안 강화
    • SBOM, provenance 등 빌드 및 패키지 출처 증명 자료 제공
  • 기타
    • 기존 헤더 방식 대부분 obsolete 처리 및 새로운 정책 위주로 변경
    • 최신 OWASP 권장사항 반영, 자유로운 커스터마이징 지원
  • 권장
    • 기존 사용자 및 신규 사용자 모두 1.0.0 버전 사용 권고, 문제 발생 시 Github 이슈 제보 요청
1개의 좋아요