⚡ 웹 보안 공격 2
📌 보안 정책
웹 해킹에 맞서 강력한 보안 정책을 적용하면 걱정을 한 시름 덜 수 있다.
보안 정책의 종류 역시 웹 해킹 기법의 종류만큼 다양하다.
⭐ CORS(Cross-Origin Resource Sharing)
🔷 개발자가 지정한 프로토콜, 도메인, 포트가 아니라면 리소스를 가져올 수 없다.
- Response header를 보고 허용 여부를 브라우저가 정한다.
- 브라우저마다 구현이 다를 수 있다.
CORS 예시
⭐ CSP(Content-Security-Policy)
🔷 실행 가능한 리소스에 대한 Whitlelist를 정하는 정책
- 웹 사이트가 허용되지 않은 리소스를 요청하지 못하도록 막는다.
- XSS 방지에 도움이 된다.
💡 기본적으로 inline script는 실행을 막는다.
- meta 태그 혹은 HTTP Header로 설정 가능
meta 태그를 이용한 CSP 예시
⭐ HTTPS
🔷 HTTP 프로토콜의 암호화된 버전
- 소켓 통신에 암호화된 데이터를 전송한다.
- SSL 인증서를 이용한다.
HTTPS 원리
이상으로 간략하게 웹 보안에 대해 알아보았다.
Hodie mihi, Cras tibi