> 웹 프론트엔드 > JS 튜토리얼 > 콘텐츠 보안 정책(CSP) 작동 방식: 종합 가이드

콘텐츠 보안 정책(CSP) 작동 방식: 종합 가이드

Barbara Streisand
풀어 주다: 2024-11-11 06:55:03
원래의
658명이 탐색했습니다.

How Does Content Security Policy (CSP) Work: A Comprehensive Guide?

CSP 작동 방식: 콘텐츠 보안 정책에 대한 종합 가이드

소개:

콘텐츠 CSP(보안 정책)는 악성 콘텐츠 및 XSS(교차 사이트 스크립팅) 공격으로부터 웹사이트를 보호하는 강력한 보안 메커니즘입니다. 브라우저가 리소스를 로드할 수 있는 소스를 정의함으로써 CSP는 신뢰할 수 없는 콘텐츠가 웹 사이트에 침입할 위험을 효과적으로 줄입니다.

콘텐츠 보안 정책 HTTP 헤더 이해:

Content-Security-Policy 태그는 다양한 유형의 콘텐츠를 로드하기 위한 유효한 소스를 지정하는 지시문으로 구성됩니다. 각 지시어 뒤에는 허용되는 소스를 정의하는 공백으로 구분된 매개변수 목록이 옵니다.

1. 여러 소스 허용:

여러 소스를 허용하려면 지시문 뒤에 간단히 나열하세요.

content="default-src https://example1.com/js/ https://example2.com/js/"
로그인 후 복사

2. 다양한 지시어 사용:

일반적인 지시어는 다음과 같습니다.

  • default-src: 대부분의 리소스를 로드하기 위한 기본 정책
  • script-src: 유효한 JavaScript 소스 files
  • style-src: CSS 파일의 유효한 소스
  • img-src: 이미지의 유효한 소스
  • connect-src: AJAX 요청 또는 WebSocket의 유효한 대상

3. 지시어 결합:

세미콜론을 사용하여 여러 지시어를 단일 메타 태그로 결합할 수 있습니다:

content="default-src 'self' https://example.com/js/; style-src 'self'"
로그인 후 복사

4. 포트 처리:

비표준 포트는 명시적으로 지정해야 합니다:

content="default-src https://ajax.googleapis.com:443 https://example.com:123/free/stuff/"
로그인 후 복사

5. 다양한 프로토콜 허용:

기본적으로 표준 프로토콜이 허용됩니다. 비표준 프로토콜(예: WebSocket)을 허용하려면 connect-src:

content="default-src 'self'; connect-src ws://"
로그인 후 복사

6을 사용하세요. 파일 프로토콜 허용(file://):

파일 시스템 매개변수 사용:

content="default-src filesystem"
로그인 후 복사

7. 인라인 스타일 및 스크립트 허용:

unsafe-inline을 사용하여 인라인 콘텐츠 허용:

content="script-src 'unsafe-inline'; style-src 'unsafe-inline'"
로그인 후 복사

8. 평가 허용:

eval()을 허용하려면 unsafe-eval 매개변수가 필요합니다:

content="script-src 'unsafe-eval'"
로그인 후 복사

9. 'self'의 의미:

'self'는 콘텐츠 정책이 포함된 파일과 동일한 구성표, 호스트 및 포트를 나타냅니다. 여기에는 localhost 또는 로컬 파일 시스템 리소스가 포함되지 않습니다.

와일드카드 지시문의 위험성:

content="default-src *"는 허용하는 편리한 방법처럼 보일 수 있습니다. 모든 소스에 대해 인라인 또는 평가에 대한 권한을 암시적으로 부여하지 않습니다. 사이트를 모든 콘텐츠에 완전히 개방하려면 다음을 사용하세요.

content="default-src * 'unsafe-inline' 'unsafe-eval'"
로그인 후 복사

결론:

CSP는 XSS 공격 위험을 크게 줄일 수 있는 강력한 보안 도구입니다. 다양한 지시어와 매개변수를 이해함으로써 웹사이트에 대한 맞춤형 보안 정책을 효과적으로 시행할 수 있습니다. CSP는 보안 코딩 방식을 대체하는 수단이 아니라 잠재적인 위협에 대한 추가 보호 계층으로 사용되어야 한다는 점을 기억하는 것이 중요합니다.

위 내용은 콘텐츠 보안 정책(CSP) 작동 방식: 종합 가이드의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!

원천:php.cn
본 웹사이트의 성명
본 글의 내용은 네티즌들의 자발적인 기여로 작성되었으며, 저작권은 원저작자에게 있습니다. 본 사이트는 이에 상응하는 법적 책임을 지지 않습니다. 표절이나 침해가 의심되는 콘텐츠를 발견한 경우 admin@php.cn으로 문의하세요.
저자별 최신 기사
인기 튜토리얼
더>
최신 다운로드
더>
웹 효과
웹사이트 소스 코드
웹사이트 자료
프론트엔드 템플릿