CSP는 웹 브라우저에서 사용하는 컨텐츠 기반의 보안 정책
주로, XSS나 Data Injection, Click Jacking 등 웹 페이지에 악성 스크립트를 삽입하는 공격기법들을 막기 위해 사용
어떻게 보면 Same Origin Policy와 비슷하지만 CSP의 경우 웹사이트가 직접 룰을 적용해서 사용
XSS 공격을 수행할 때 inline 스크립트를 삽입하거나, 혹은 타 도메인에서 js를 삽입하게 되는데 CSP 헤더를 통해 이를 제한할 수 있음
ex. Content-Security-Policy : script-src https://cdn.example.com/
inline 스크립트 사용 불가, cdn.example.com 에서 요청되는 js만 실행됨
https 사이트서 http 요청할때 오류 발생
해결) html meta 속성 추가 (http로가는 요청을 모두 https로 바꿈)
<meta http-equiv="Content-Security-Policy" content="upgrade-insecure-requests">
하루 모아 평생 🧚🏻