CSP(콘텐츠 보안 정책)는 악성 코드 삽입으로부터 웹사이트를 어떻게 보호합니까?
- Susan Sarandon원래의
- 2024-11-09 11:20:02633검색
콘텐츠 보안 정책(CSP) 이해
개발자 콘솔에서 "... 거부"와 같은 오류가 자주 발생하는 것은 콘텐츠 보안 정책의 결과입니다. (CSP)는 신뢰할 수 없는 소스의 리소스 로드를 제한하는 보안 조치입니다.
CSP는 어떻게 작동합니까? 직장?
CSP를 사용하면 리소스를 로드할 수 있는 위치를 제어할 수 있습니다. HTTP 헤더 Content-Security-Policy의 지시어를 통해 허용되는 소스를 정의합니다. 이러한 제한을 설정하면 XSS 공격과 같은 악성 코드 삽입 위험을 최소화할 수 있습니다.
지시문
일반적인 지시문은 다음과 같습니다.
- default-src: 기본 정책 다양한 리소스를 로드합니다.
- script-src: JavaScript에 대한 유효한 소스를 정의합니다. files.
- style-src: CSS 파일의 유효한 소스를 정의합니다.
- img-src: 이미지의 유효한 소스를 정의합니다.
- connect-src: AJAX의 유효한 대상을 정의합니다. 요청 또는 WebSocket 연결.
사용 CSP
1. 다중 소스 허용:
content="default-src 'self' https://example.com/js/"
2. 여러 지시어 정의:
content="default-src 'self' https://example.com/js/; style-src 'self'"
3. 포트 처리:
content="default-src 'self' https://example.com:123/free/stuff/"
4. 다양한 프로토콜 처리:
content="default-src 'self'; connect-src ws:; style-src 'self'"
5. 파일 프로토콜 허용:
content="default-src filesystem"
6. 인라인 스타일 및 스크립트:
content="script-src 'unsafe-inline'; style-src 'unsafe-inline'"
7. eval() 허용:
content="script-src 'unsafe-eval'"
8. 'self'의 의미:
'self'는 정책이 정의된 파일과 동일한 스키마, 호스트, 포트를 가진 소스를 의미합니다.
9. 와일드카드 경고:
content="default-src *"를 사용하면 인라인 스크립트 및 eval() 허용과 같은 특정 위험한 작업이 허용됩니다. 실제 취약점을 확인하려면 다음을 고려하세요.
content="default-src * 'unsafe-inline' 'unsafe-eval'"
리소스
- content-security-policy.com
- en.wikipedia.org/wiki/Content_Security_Policy
위 내용은 CSP(콘텐츠 보안 정책)는 악성 코드 삽입으로부터 웹사이트를 어떻게 보호합니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!
성명:
본 글의 내용은 네티즌들의 자발적인 기여로 작성되었으며, 저작권은 원저작자에게 있습니다. 본 사이트는 이에 상응하는 법적 책임을 지지 않습니다. 표절이나 침해가 의심되는 콘텐츠를 발견한 경우 admin@php.cn으로 문의하세요.