Content-Security-Policy(CSP) 개요

Content-Security-Policy (CSP) 개요를 요약합니다.

Content-Security-Policy(CSP)란?

서버가 브라우저에 대한 자체 보안 정책을 표현하는 메커니즘을 나타냅니다.

스크립트 및 이미지의 실행 범위를 지정합니다.

크로스 사이트 스크립팅 (XSS) 대책

XSS를 목적으로 하는 외부의 스크립트 코드가 임베드되었을 때의 영향을 경감한다.

Content-Security-Policy: <policy-directive>; <policy-directive>

<policy-directive> = <directive> <value> 내부 구두점 없음

directive 유형 : 허용되는 리소스 유형 (참고)

value : 'self'(同一ドメイン、同一ポート※サブドメイン除く) 또는 특정 도메인 지정

예 1: 자체 도메인 리소스만 로드하도록 허용

  Content-Security-Policy: default-src 'self'

예 2 : 자체 도메인과 지정된 도메인의 리소스 만로드 할 수있는 경우

  Content-Security-Policy: default-src 'self' *.example.com

웹 앱에서 사용하는 각 리소스에 대해 허용할 오리진 목록을 정의합니다.

서버에서 1.에서 정의한 제어 설정을 Content-Security-Policy HTTP 헤더로 설정하고 반환합니다.
※ meta 태그로 지정하는 것도 가능.

설정 파일 (.conf 파일 등)에 다음과 같이 설명을 추가합니다.

Header set Content-Security-Policy "default-src 'self'; script-src 'self' *.example.com"

이 문제에 관하여(Content-Security-Policy(CSP) 개요), 우리는 이곳에서 더 많은 자료를 발견하고 링크를 클릭하여 보았다 https://qiita.com/KWS_0901/items/e529d9ee90cba959043b

텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.

우수한 개발자 콘텐츠 발견에 전념 (Collection and Share based on the CC Protocol.)

개발자 우수 사이트 수집

개발자가 알아야 할 필수 사이트 100선 추천 우리는 당신을 위해 100개의 자주 사용하는 개발자 학습 사이트를 정리했습니다