요약
- 지원 프레임워크
- .NET Core 3.1 이상만 지원, .NET Framework 및 netstandard2.0 이하 지원 중단
- 기본 적용 헤더 변경
- Cross-Origin-Opener-Policy, Cross-Origin-Embedder-Policy, Cross-Origin-Resource-Policy 기본 적용 추가
- X-XSS-Protection, Expect-CT, Feature-Policy는 더이상 추천하지 않고 obsolete 처리
- API/유틸리티 메서드 추가
- AddDefaultApiSecurityHeaders(): API 서버에 적합한 보안 헤더 세트 간편 적용
- PermissionsPolicyBuilder.AddDefaultSecureDirectives(): 권장 Permissions-Policy 일괄 적용
- Content-Security-Policy에 Trusted Types(크롬 전용) 지원 추가
- 엔드포인트/요청별 보안정책 적용
- 엔드포인트마다 다른 헤더 정책 적용 가능 (.WithSecurityHeadersPolicy)
- SetPolicySelector()로 요청별로 완전히 맞춤형 정책 적용 가능
- Document Headers 기능 제거
- (HTML/문서형 응답에만 헤더 적용하던 기능은 삭제, 항상 모든 응답에 헤더 적용)
- Nonce 생성 방식 변경
- 필요 시에만 1회 생성하는 방식(Lazy)으로 변경
- 소프트웨어 공급망 보안 강화
- SBOM, provenance 등 빌드 및 패키지 출처 증명 자료 제공
- 기타
- 기존 헤더 방식 대부분 obsolete 처리 및 새로운 정책 위주로 변경
- 최신 OWASP 권장사항 반영, 자유로운 커스터마이징 지원
- 권장
- 기존 사용자 및 신규 사용자 모두 1.0.0 버전 사용 권고, 문제 발생 시 Github 이슈 제보 요청