[ Server ] CSP

728x90

배경지식

* HTTP: HyperText Transfer Protocol의 약자로, 인터넷에서 정보를 송수신하는 프로토콜 (규약)입니다. HTML문서 송수신에 주로 사용됩니다.

* REST API: Repersentational State Trasfer API의 약자로, REST라는 규칙에 맞춰 개발 및 제공되는 API를 말합니다.

* API: Application Programming Interface의 약자로, 특정 서비스나 응용 프로그램에서 자신들의 서비스 내부의 기능들을 제어할 수 있도록 만들어놓은 인터페이스를 말합니다.

* XSS (Cross Site Scripting): 웹 애플리케이션에서 관리자가 아닌 권한이 없는 사용자가 웹사이트에 스크립트를 삽입하는 공격을 말합니다. HTML input 태그나 메일 내용 등에 스크립트를 입력하여 서버로 스크립트를 보내는 것이 그 예시입니다.

콘텐츠 보안 정책

콘텐츠 보안 정책이란 쉽게 말해서 스크립트나 데이터의 삽입을 막기위한 브라우저 보안정책입니다.

CORS와 불러오는 데이터를 제한한다는 점에서 공통점이 있지만, 보다 폭넓게 다양한 설정들을 제어할 수 있습니다.또한 CORS는 기봄적으로 활성화되어있고, 설정을 통해 해제해야하는것에 비해, CSP는 별도 설정이 없다면 해제되어있습니다.

CSP 설정

1) 웹문서에 meta 태그로 설정

html head에 아래 메타태그를 입력하면 CSP가 활성화됩니다:

<meta http-equiv="Content-Security-Policy" content="{조건들}">

2) html 문서 응답시 Content-Security-Policy 헤더 추가

응답 header에 아래 값을 추가합니다:

Content-Security-Policy: {조건들}

CSP Directives

위에 {조건들} 형식으로 써놓은 부분을 Directive라고 합니다.

Directive는 특정 형식에 대한 허용 url에 대한 정보를 담고 있습니다.

특정 형식은 다음과 같은 것들을 말합니다:

style-src: css와 관련된 값script-src: js와 관련된 값img-src: 이미지나 favicon과 관련된 값default-src: directive 기본값

자세한 내용은 아래를 참고하세요:

https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Security-Policy

Content-Security-Policy - HTTP | MDN

The HTTP Content-Security-Policy response header allows web site administrators to control resources the user agent is allowed to load for a given page. With a few exceptions, policies mostly involve specifying server origins and script endpoints. This hel

developer.mozilla.org

각 형식에 대헤 설정할 수 있는 값 설정은 총 11개 입니다.

형식에 대한 자세한 내용은 아래를 참고하세요:

https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Security-Policy/default-src

CSP: default-src - HTTP | MDN

The HTTP Content-Security-Policy (CSP) default-src directive serves as a fallback for the other CSP fetch directives. For each of the following directives that are absent, the user agent looks for the default-src directive and uses this value for it: