CSP(Content Security Policy)란?
신뢰된 웹 페이지 콘텍스트에서 악의적인 콘텐츠를 실행하세 하는 XSS, 클릭재킹, 그리고 기타 코드 인젝션 공격을 예방하기 위해 도입된 컴퓨터 보안 표준
주로 헤더에 내용이 삽입되며 특정 리소스가 어디서 왔는지 검사하고 허용된 범위에 포함되었는지 검토함
인라인 스크립트를 금지하는 것을 요구
CSP 지시문
| default-src | 디폴트 설정 |
| connect-src | 연결할 수 있는 URL을 제한 |
| script-src | 스크립트 관련 권한 집합을 제어 |
| child-src | iframe 태그에서 사용 |
| style-src | 스타일시트 관련 권한 집합을 제어 |
| font-src | 웹 글꼴을 제공할 수 있는 출처를 지정 |
| img-src | 이미지 관련 권한 집합을 제어 |
| report-uri | 콘텐츠 보안 정책 위반 시 브라우저가 보고서를 보낼 URL을 지정(meta 태그에서는 해당 지시문을 사용할 수 X) |
EX
1. Content-Security-Policy: default-src ‘self’
모든 컨텐츠의 소스는 자기 도메인에서 갖고 오게 됨. 서브 도메인은 제외.
2. Content-Security-Policy: default-src ‘self’ *.example.com
모든 컨텐츠의 소스는 자기 도메인과 서브 도메인에서 갖고 옴.
3. Content-Security-Policy: default-src ‘self’; img-src *; media-src media1.com media2.com; script-src script.example.com;
모든 컨텐츠는 자기 도메인에서 갖고 오지만 몇가지 예외 사항이 있음.
img-src * : 이미지 관련 컨텐츠는 모든 사이트들을 허용.
media-src media1.com media2.com : 미디어 관련 컨텐츠는 media1과 media2라는 사이트에서만 갖고 옴.
script-src script.example.com : 실행 가능한 스크립트 관련 컨텐츠는 script.example.com에서만 갖고 옴.
참고https://ko.wikipedia.org/wiki/%EC%BD%98%ED%85%90%EC%B8%A0_%EB%B3%B4%EC%95%88_%EC%A0%95%EC%B1%85
https://simjaejin.tistory.com/31
'Study > Web' 카테고리의 다른 글
| File Upload(파일 업로드) 취약점 (0) | 2021.06.14 |
|---|---|
| [DVWA] CSP Bypass (0) | 2021.06.14 |
| [DVWA] CSRF (0) | 2021.06.13 |
| [WebGoat] CSRF (0) | 2021.06.13 |
| CSRF(Cross Site Request Forgery) (0) | 2021.06.13 |