CSP:Content Security Policy
콘텐츠 보안정책
문서 (또는 웹 페이지)의 보안을 강화하기 위해 사용하는 HTTP 응답 헤더의 이름입니다.
Content-Security-Policy 헤더를 사용하면 JavaScript, CSS 또는 브라우저가로드하는 거의 모든 리소스와 같은 리소스를 제한 할 수 있습니다.
쉽게말해 브라우저는 사이트에 접속하면 소스에 관계없이 페이지에서 요청하는 코드는 무엇이든지 다운로드하여 우리에게 보여준다. 그렇다보니 악성코드도 다운받게 되는데 이를 방지하기위해 우리가 신뢰하는사이트, 가져올 콘텐츠를 미리 정의 하는것을 말한다.
예시
Content-Security-Policy: script-src 'self' https://apis.google.com
apis.google.com에서 제공되는 자바스크립트를 충실히 다운로드하고 실행합니다.
하지만 브라우저가 다른 소스에서 스크립트를 로드하는 대신 그냥 오류를 발생시킵니다.
Content-Security-Policy: default-src 'self' 'unsafe-inline' https://apis.google.com
default-src는 아래 지시문을 제외하고는 모두 적용됩니다.
- base-uri
- form-action
- frame-ancestors
- plugin-types
- report-uri
- sandbox
src 옵션 설정
- http://www.test.com,example.com, example.com:443 ... 접근 허용 도메인
- 'none'은 모든것을 차단(잠금)
- 'self' 는 현재 도메인만 허용
- 'unsafe-inline'은 소스코드 내 인라인 자바스크립트 및 CSS를 허용
- 'nonce-암호화된문자'은 인라인 자바스크립트 및 CSS를 허용 (아래에서 설명)
출처:
부족하신분은 아래 출처들을 꼭 읽어보세요.
CSP 적용시키는 방법등 쉬운 예시
https://simjaejin.tistory.com/31
CSP 개념 정리
https://developers.google.com/web/fundamentals/security/csp?hl=ko
CSP 지시어
https://content-security-policy.com/#source_list
- Total
- Today
- Yesterday
- 유입증가시키는방법
- ㅏ
- 데이터베이스#RDBMS#스키마
- jQuey
- data속성일때 선택자
- ㅂㅜ티
- js
- 도메인개념
- CSP#콘텐츠보안정책#style코드 작성시
- 배열선택자
- 다짐#개발자#Vlog
- CheckBox
- 네이버노출
- 네이버
- 선택자
- 티스토리
- 버블링
- RSS태그#지식
- 캡처링
- 네이버 노출
- 검색결과
- EQ
- domain
- react
- 도메인이해
- ~`
- p
- Develop 사전
- onClick
- PP
일 | 월 | 화 | 수 | 목 | 금 | 토 |
---|---|---|---|---|---|---|
1 | 2 | 3 | 4 | |||
5 | 6 | 7 | 8 | 9 | 10 | 11 |
12 | 13 | 14 | 15 | 16 | 17 | 18 |
19 | 20 | 21 | 22 | 23 | 24 | 25 |
26 | 27 | 28 | 29 | 30 | 31 |