컨텐츠 보안 정책 CSP

CSP (Content Security Policy)는 웹 페이지 리소스의로드 소스를 제한하여 XSS와 같은 공격을 방지합니다. 핵심 메커니즘은 무단 스크립트가 실행되는 것을 방지하기 위해 화이트리스트를 설정하는 것입니다. 사용하는 단계에는 다음이 포함됩니다. 1. 정책을 정의하고 허용 리소스 소스를 명확하게합니다. 2. 서버에 컨텐츠 보안 정책 HTTP 헤더 추가; 3. 보고서 전용 모드를 사용하여 초기 단계에서 테스트 및 디버그; 4. 정상적인 기능에 영향을 미치지 않도록 지속적인 모니터링 및 최적화 전략. 참고에는 인라인 스크립트 처리, 타사 리소스의 신중한 사용, 호환성 지원 및 기타 대체 할 수없는 보안 조치가 포함됩니다.

CSP (Content Security Policy)는 웹 사이트가 악의적 인 스크립트 공격을 방지하고 줄이는 데 도움이되는 보안 메커니즘입니다. 간단히 말해서, XSS (크로스 사이트 스크립팅 공격)와 같은 보안 취약점이 브라우저에로드 될 수 있고 어떤 리소스를로드 할 수 있는지, 어떤 리소스를로드 할 수 없는지 알려주는 것을 방지합니다.

핵심 아이디어는 다음과 같습니다. 모든 자원을로드 해야하는 것은 아니며 신뢰의 출처 만 실행할 수 있어야합니다.

CSP가 필요한 이유는 무엇입니까?

CSP가 없으면 웹 페이지에는 임베디드 스크립트, 스타일 또는 이미지가 기본적으로로드되므로 공격자에게 이용할 수있는 기회가 제공됩니다. 예를 들어, 악의적 인 사용자는 JavaScript 코드를 제출합니다. 페이지가 충분히 필터링되지 않으면 코드가 실행되어 사용자의 쿠키를 훔치고 위조 요청을 시작할 수 있습니다.

CSP의 기능은 지정된 소스에서 컨텐츠를로드하지 않도록 페이지를 제한하는 것 입니다. 누군가가 악성 코드를 삽입하더라도 브라우저는 화이트리스트의 리소스에서 나오지 않는 한 실행하지 않습니다.

예를 들어:

• CSP가 없으면 공격자는 <script src="https://malicious.com/evil.js"></script> 주입하고 브라우저는 평소와 같이로드됩니다.
• CSP와 설정을 사용하면 자신의 서버에서 JS를로드 할 수있게되면이 외부 스크립트가 가로 채게됩니다.

CSP는 어떻게 작동합니까?

CSP는 HTTP 응답 헤더 Content-Security-Policy 통해 정책 규칙을 통과합니다. 브라우저 가이 헤더를 받으면 규칙에 따라 리소스를로드 할 수 있는지 판단합니다.

일반적인 CSP 지침에는 다음이 포함됩니다.

• default-src : 별도로 지정되지 않은 다른 리소스 유형에 대한 기본 정책
• script-src : JavaScript를로드 할 수있는 제어
• style-src : CSS 스타일 시트의 로딩 소스를 제어합니다
• img-src : 제어 이미지 소스
• connect-src : XMLHTTPREQUEST, FETCH 등과 같은 네트워크 요청의 대상을 제어하십시오.

간단한 전략 예를 들어 봅시다 :

 Content-Security-Policy : Script-SRC 'Self'; Object-Src 'None';

이 전략의 의미는 다음과 같습니다. JavaScript는 현재 도메인 이름에서만로드 될 수 있으며 플래시 또는 기타 플러그인 객체를로드 할 수 없습니다.

CSP를 시작하는 방법?

CSP를 활성화하려면 주요 단계는 다음과 같습니다.

1. 정책 내용을 정의하십시오

   • 웹 사이트 구조에 따라 어떤 소스로로드 될 수 있는지 결정하십시오.
   • 먼저 긴장을 풀고 점차 조일 수 있습니다

2. HTTP 헤더를 추가하십시오

   • 서버 구성에 Content-Security-Policy 헤더를 추가하십시오
   • 예를 들어, Nginx에서는 다음을 추가 할 수 있습니다.

      add_header content-security-policy "script-src 'self'; style-src 'self'https://cdn.example.com;";

   • 테스트 및 디버깅

     • 초기 단계에서는 Content-Security-Policy-Report-Only 모드를 사용하여 브라우저가 위반을보고하지만 실제로 차단하지는 않습니다.
     • report-uri 또는 report-to 와 함께 분석을 위해 지정된 주소로 로그를 보낼 수 있습니다.

   • 모니터링 및 최적화

     • 어떤 리소스가 가로 채는지 확인하고 정상 기능에 영향을 미치지 않을 때까지 정책을 조정하십시오.

   ---

   자주 묻는 질문과 메모

   • 인라인 스크립트가 차단됩니다

     • <script>console.log(&#39;hello&#39;)</script> 쓰기 메소드를 사용하는 경우 기본적으로 CSP에 의해 차단됩니다.
     • 솔루션 : 대신 외부 링크 js 파일을 사용하거나 Nonce 서명을 추가하십시오.

   • 타사 자원에주의하십시오

     • CDN 또는 통계 코드를 사용할 때는 화이트리스트를 잊지 마십시오.
     • 그렇지 않으면 스타일링 장애와 기능 실패를 유발할 수 있습니다.

   • 호환성은 일반적으로 좋습니다

     • 주류 현대식 브라우저는 CSP를 지원합니다
     • 그러나 이전 버전의 IE는 인식되지 않을 수 있습니다

   • CSP에 너무 의존하지 마십시오

     • "추가 계층"이며 입력 필터링, 출력 탈출 등과 같은 기본 보안 조치를 대체 할 수 없습니다.

   ---

   일반적으로 CSP는 프론트 엔드 보안을 효과적으로 향상시키는 도구입니다. 처음에는 구성이 약간 번거롭지 만 일단 설정되면 XSS와 같은 공격의 위험을 크게 줄일 수 있습니다. 기본적으로 그게 전부입니다. 귀하의 웹 사이트가 이미 온라인 상태 인 경우 보고서 전용 모드에서 시도해 볼 수도 있습니다.

   위 내용은 컨텐츠 보안 정책 CSP의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!