PHP8.1 출시: CSP(콘텐츠 보안 정책) 지원

PHP8.1 출시: CSP(콘텐츠 보안 정책) 지원

인터넷이 발달하면서 네트워크 보안 문제가 점점 더 주목받고 있습니다. 사용자의 개인정보와 보안을 보호하기 위해 웹페이지에서 실행할 수 있는 콘텐츠와 로드할 수 있는 리소스를 제한하는 콘텐츠 보안 정책(CSP)을 채택하는 웹사이트가 늘어나고 있습니다. PHP 8.1의 최신 릴리스에서는 CSP에 대한 기본 지원이 도입되어 개발자에게 웹 페이지의 보안을 강화할 수 있는 더 나은 도구를 제공합니다.

CSP를 사용하면 웹 페이지 개발자는 로드가 허용되는 리소스 소스를 지정하여 웹 페이지에서 실행될 수 있는 코드를 제한하고 XSS(교차 사이트 스크립팅 공격) 및 기타 악의적인 공격을 방지할 수 있습니다. PHP8.1은 CSP 정책을 정의하고 구현하는 간단하고 강력한 방법을 제공합니다. 아래의 몇 가지 샘플 코드를 살펴보겠습니다.

먼저 CSP 전략이 어떻게 작동하는지 알아야 합니다. 정책은 웹 페이지에 로드할 수 있는 리소스 유형과 허용되는 스크립트 및 스타일을 정의합니다. 개발자는 아래와 같이 PHP에서 제공하는 새로운 기능을 사용하여 CSP 정책을 설정할 수 있습니다.

<?php
header("Content-Security-Policy: default-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval'; style-src 'self' 'unsafe-inline';");
?>

위 예에서는 header() 함수를 사용하여 Content-Security를 ​​설정했습니다. - 정책 응답 헤더. 이 헤더 파일은 기본적으로 로드되는 리소스(default-src 'self')를 지정하고, 각각 로드가 허용되는 스크립트(script-src 'self' 'unsafe)를 지정합니다. -inline' 'unsafe -eval') 및 스타일(style-src 'self' 'unsafe-inline'). 이렇게 하면 동일한 도메인의 리소스만 로드되어 인라인 스크립트와 스타일이 허용됩니다. header()函数来设置Content-Security-Policy响应头。这个头文件指定了默认加载的资源（default-src 'self'），并分别指定了允许加载的脚本（script-src 'self' 'unsafe-inline' 'unsafe-eval'）和样式（style-src 'self' 'unsafe-inline'）。这样，只有从同一域名的资源才会被加载，同时允许内联脚本和样式。

除了通用的加载策略外，CSP还提供了其他的指令来控制加载的资源类型，如image-src、font-src、media-src等。开发者可以根据自己的需求对这些指令进行设置。

接下来，我们来看一个更具体的例子。假设我们的网页需要加载一个第三方库（如jQuery）和一些自定义的脚本，我们可以这样设置CSP策略：

<?php
header("Content-Security-Policy: default-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval' https://cdnjs.cloudflare.com/ajax/libs/jquery/3.6.0/jquery.min.js; style-src 'self' 'unsafe-inline';");
?>

在上面的示例中，我们通过在script-src指令的参数中加入jQuery的CDN链接来允许加载该库。这样，即使我们的加载策略是只允许从同一域名加载资源，但是我们依然可以使用其他域名上的资源。

总结来说，PHP8.1的发布为开发者提供了对CSP的本地支持，简化了设置和实施CSP策略的过程。通过使用Content-Security-Policy

위 내용은 PHP8.1 출시: CSP(콘텐츠 보안 정책) 지원의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!