meta태그 Content-Security-Policy

Tony·2023년 1월 6일
0
<meta http-equiv="Content-Security-Policy" content="default-src 'self' 'unsafe-eval' 'unsafe-inline' https:; img-src 'self' data: blob: https:; font-src 'self' data: https:;">

CSP

  • 소위 CSP라 불리기도 하는 Content-Security-Policy 메타 태그에 대해 알아보자

  • 이 태그의 목적은 xss로 웹에 허용되지 않은 script를 삽입하거나 외부페이지로 부터 HTTP요청을 보내는 것을 막을 수 있도록 Response header에 마련된 정책이라고 한다

  • javascript 뿐만 아니라 이미지나 데이터에 대해서도 제한을 둘 수 있다

    • content 에 문자열로 여러 가지를 지정할 수 있는데 구분은 세미콜론(;)으로 나눈다
    • 띄어쓰기로 구분하여 디렉티브 속성을 여러개 지정할 수 있다
  • 각 항목은 디렉티브(directive)라고 부르며 다양한 디렉티브들이 있다

디렉티브 종류

  • default-src : src에 대한 허용 정책이다
  • script-src, style-src, img-src, ... 으로 구체적으로 구분하여 지정할 수도 있다
    • 구분하여 지정하는 경우 default-src는 오버라이딩 된다

참고

profile
움직이는 만큼 행복해진다

0개의 댓글