Engineering Notes
01분 읽기
J
Jia · Engineering EditorialEngineering
Technology · SSOT
공개 도메인 전수 Observatory A+ — nonce CSP와 multi-origin 배포
DevHub D+에서 전 오리진 A+까지: @xenlook/config/observatory, middleware nonce, MSS Fastify hook, verify 스크립트.
보안ObservatoryCSPEngineering
편집·검증: Jia (총편집) · Sena (출처·도메인 대조) · Ethan (배포·
verify-observatory-headers.sh재현)
요약
2026-06-11 기준 XENLOOK 공개 오리진 8개가 Mozilla HTTP Observatory A+ 헤더 프로필을 충족합니다.
| 계층 | 조치 | SSOT |
|---|---|---|
| 공유 모듈 | packages/config/src/observatory-security.ts | nonce CSP · HSTS preload |
| Next.js 앱 | middleware stampObservatoryHeaders + layout x-nonce | landing · on · devhub · civ · guild · music |
| Fastify MSS/NSS | applyObservatoryToFastifyReply | music · novel API 오리진 |
| 검증 | bash scripts/verify-observatory-headers.sh | curl 게이트 8/8 PASS |
DevHub가 D+였던 이유
- 미배포 빌드 — layout nonce·middleware가 프로덕션에 없었음
- on.xenlook.com 502 —
.next빌드 누락으로 엣지 체인 단절 - music.xenlook.com — API 404 응답에 HSTS/CSP 없음 → MSS hook으로 해소
Observatory A+는 HTTP 헤더 등급이며 침해·앱 취약점 부재를 보증하지 않습니다.
직접 검증
bash scripts/verify-observatory-headers.sh
또는 Mozilla Observatory에서 각 호스트를 스캔하세요.
CSA STAR와의 관계
엣지·전송(Observatory) · 클라우드·운영(CSA CAIQ — 진행 중) · AI·거버넌스(헌법 · IMDA AI Verify)는 별도 층입니다.
CSA STAR 등재 전까지 공개 문구는 in progress만 사용합니다 (docs/governance/csa-star/README.md).