홈 · 데모
보안 비교
XpressEngine 1.x 기반 구형 사이트 vs 신 시스템 — 항목별 비교.
| 항목 | XE 1.x (기존) | 신 시스템 |
|---|---|---|
| 전송 암호화 (HTTPS) | 선택 | 필수 + HSTS 1년 |
| 비밀번호 해시 | MD5 / 약한 해시 | Argon2id (메모리·시간 비용) |
| 세션 | PHP 세션 + 평문 쿠키 | JWT + Refresh, HttpOnly·Secure·SameSite=Lax |
| CSRF | 수기 토큰, 일부 누락 | 전 폼 자동 토큰 + Server Actions |
| XSS | 수기 escape, 누락 다수 | DOMPurify + 에디터 정화 + CSP |
| 관리자 보호 | ID/PW 단일 인증 | L9 + 2FA(TOTP) + IP 로그 |
| Rate Limit | 없음 | Upstash Redis (메모리 fallback) |
| 권한 게이트 | 각 컨트롤러 수기 체크 | 등급(L0~L9) + 미들웨어 |
| 파일 업로드 | 확장자만 검사 | Magic byte + MIME + 화이트리스트 + 격리 |
| 보안 헤더 | 기본값 | HSTS · CSP · XFO · COOP · Referrer · Permissions |
현재 페이지 응답 헤더 (라이브)
이 페이지가 받은 응답 헤더를 즉시 표시합니다.