>웹 프론트엔드 >JS 튜토리얼 >CSP(콘텐츠 보안 정책)는 악성 코드 삽입으로부터 웹사이트를 어떻게 보호합니까?

CSP(콘텐츠 보안 정책)는 악성 코드 삽입으로부터 웹사이트를 어떻게 보호합니까?

Susan Sarandon
Susan Sarandon원래의
2024-11-09 11:20:02668검색

How does Content Security Policy (CSP) protect websites from malicious code injections?

콘텐츠 보안 정책(CSP) 이해

개발자 콘솔에서 "... 거부"와 같은 오류가 자주 발생하는 것은 콘텐츠 보안 정책의 결과입니다. (CSP)는 신뢰할 수 없는 소스의 리소스 로드를 제한하는 보안 조치입니다.

CSP는 어떻게 작동합니까? 직장?

CSP를 사용하면 리소스를 로드할 수 있는 위치를 제어할 수 있습니다. HTTP 헤더 Content-Security-Policy의 지시어를 통해 허용되는 소스를 정의합니다. 이러한 제한을 설정하면 XSS 공격과 같은 악성 코드 삽입 위험을 최소화할 수 있습니다.

지시문

일반적인 지시문은 다음과 같습니다.

  • default-src: 기본 정책 다양한 리소스를 로드합니다.
  • script-src: JavaScript에 대한 유효한 소스를 정의합니다. files.
  • style-src: CSS 파일의 유효한 소스를 정의합니다.
  • img-src: 이미지의 유효한 소스를 정의합니다.
  • connect-src: AJAX의 유효한 대상을 정의합니다. 요청 또는 WebSocket 연결.

사용 CSP

1. 다중 소스 허용:

content="default-src 'self' https://example.com/js/"

2. 여러 지시어 정의:

content="default-src 'self' https://example.com/js/; style-src 'self'"

3. 포트 처리:

content="default-src 'self' https://example.com:123/free/stuff/"

4. 다양한 프로토콜 처리:

content="default-src 'self'; connect-src ws:; style-src 'self'"

5. 파일 프로토콜 허용:

content="default-src filesystem"

6. 인라인 스타일 및 스크립트:

content="script-src 'unsafe-inline'; style-src 'unsafe-inline'"

7. eval() 허용:

content="script-src 'unsafe-eval'"

8. 'self'의 의미:
'self'는 정책이 정의된 파일과 동일한 스키마, 호스트, 포트를 가진 소스를 의미합니다.

9. 와일드카드 경고:
content="default-src *"를 사용하면 인라인 스크립트 및 eval() 허용과 같은 특정 위험한 작업이 허용됩니다. 실제 취약점을 확인하려면 다음을 고려하세요.

content="default-src * 'unsafe-inline' 'unsafe-eval'"

리소스

  • content-security-policy.com
  • en.wikipedia.org/wiki/Content_Security_Policy

위 내용은 CSP(콘텐츠 보안 정책)는 악성 코드 삽입으로부터 웹사이트를 어떻게 보호합니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!

성명:
본 글의 내용은 네티즌들의 자발적인 기여로 작성되었으며, 저작권은 원저작자에게 있습니다. 본 사이트는 이에 상응하는 법적 책임을 지지 않습니다. 표절이나 침해가 의심되는 콘텐츠를 발견한 경우 admin@php.cn으로 문의하세요.