온라인 최고의 파트너 윈서트!, 02-6111-8360 or 이메일문의(info@wincert.com)
Security Class
| 콘텐츠보안정책 Content Security Policy (CSP) | 조회:10057 | IP : 123.xxx.xxx.114 | 2019-11-08 18:07:23 |
|
Content Security Policy (CSP) ? CORS Cross Origin Resource Sharing - CORS 콘텐츠 보안정책은 기존의 외 "SAME-Origne Policy" 의 연장선으로 이해하면됩니다. 과거에는 CORS(Cross Origin Resource Sharing)라는 것으로 아파치 웹서버에 아래와 유사하게 이용했었다. ------------------------- Header always set Access-Control-Allow-Origin "*" Header always set Access-Control-Allow-Methods "POST, GET, OPTIONS" .... ------------------------- 주요 내용은 XSS(크로스사이트스크립트)에 대응할 수 있는 정책입니다. Cross site script는 사이트 관리자가 아닌 이가 웹페이지에 악성 스크립트를 삽입할 수 있는 취약점입니다. 서로 다른 사이트에서 접속하는 것을 정책으로 제한 또는 허용할 수 있는 내용입니다. 예를 들면 공공기관, 은행 등과 같은 대규모 사이트의경우 sub dodmain 또는 다른 도메인으로 업무가 분리되어 있는 경우가 있습니다. 이런경우 업무를 연계하기위해 Ajax 와 같은 javascript, 이미지 등 웹리소를 이용하여 연계하기도합니다. 이 경우 만약 허용되지 않을 곳에서 요청되어 스크립트가 삽입되거나 실행된다면 심각한 문제가 발생할 수 도 있습니다. 이를 예방하기 위해서 이용하는 웹 콘텐츠(리소트)에 보안 정책을 지정하는 것입니다. 그 정책은 URL을 제한할수있고, 웹소켓 및 이벤트소스도 제한할 수 있으며 이미지, 미디어, 폰트 등... 을 제한할 수 있습니다. 기본적으로 설정하지 않을경우는 모두 열려있는 상태입니다.
참고 - https://developers.google.com/web/fundamentals/security/csp/?hl=en |
|||
