Content-Security-Policy(CSP) 개요

  • Content-Security-Policy (CSP) 개요를 요약합니다.

  • Content-Security-Policy(CSP)란?


  • 서버가 브라우저에 대한 자체 보안 정책을 표현하는 메커니즘을 나타냅니다.
  • 스크립트 및 이미지의 실행 범위를 지정합니다.


  • 도입이 필요한 이유



  • 크로스 사이트 스크립팅 (XSS) 대책
  • XSS를 목적으로 하는 외부의 스크립트 코드가 임베드되었을 때의 영향을 경감한다.



  • 구문


    Content-Security-Policy: <policy-directive>; <policy-directive>
    
  • <policy-directive> = <directive> <value> 내부 구두점 없음
  • directive 유형 : 허용되는 리소스 유형 (참고)
  • value : 'self'(同一ドメイン、同一ポート※サブドメイン除く) 또는 특정 도메인 지정

  • 예 1: 자체 도메인 리소스만 로드하도록 허용
  •   Content-Security-Policy: default-src 'self'
    
  • 예 2 : 자체 도메인과 지정된 도메인의 리소스 만로드 할 수있는 경우
  •   Content-Security-Policy: default-src 'self' *.example.com
    

    설정 흐름


  • 웹 앱에서 사용하는 각 리소스에 대해 허용할 오리진 목록을 정의합니다.
  • 서버에서 1.에서 정의한 제어 설정을 Content-Security-Policy HTTP 헤더로 설정하고 반환합니다.
    meta 태그로 지정하는 것도 가능.

  • Apache에서 설정하는 방법


  • 설정 파일 (.conf 파일 등)에 다음과 같이 설명을 추가합니다.
  • Header set Content-Security-Policy "default-src 'self'; script-src 'self' *.example.com"
    

    참고 정보


  • 콘텐츠 보안 정책(CSP)
  • Content-Security-Policy
  • Content Security Policy 배포
  • 콘텐츠 보안 정책 참조
  • Content Security Policy (CSP)
  • 좋은 웹페이지 즐겨찾기