컨텐츠 보안 정책을 통한 웹 보안 개선

컨텐츠 보안 정책 (CSP) : 웹 보안에 대한 포괄적 인 안내서

CSP (Content Security Policy)는 컨텐츠 주입 공격, 주로 XSS (Cross-Site Scripting)로부터 웹 사이트를 보호하는 중요한 보안 메커니즘입니다. 이 선언적 정책을 통해 개발자는 신뢰할 수있는 자원 기원의 화이트리스트를 만들 수 있으며 브라우저가 리소스를로드하고 인라인 스타일 및 스크립트를 사용하며 동적 자바 스크립트 평가 (예 :

)를 처리하는 방법을 제어 할 수 있습니다. 이 화이트리스트 외부에서 자원을로드하려는 시도는 차단됩니다.

주요 개념 : eval()

화이트리스트 접근 : CSP는 허용 소스를 정의하고 다른 모든 것을 차단하여 작동합니다. HTTP 헤더 배달 :

정책은 http 헤더를 통해 구현됩니다. 지시 기반 제어 : 헤더에는 허용 도메인을 지정하고 주입 공격을 방지하기 위해 JavaScript 실행 제한을 제한하는 지시문이 포함되어 있습니다. 위반보고 : 지시문은 CSP 위반으로 생산 환경에 귀중합니다. 위반을 지정된 URL에 자세히 설명하는 JSON 보고서를 보냅니다. CSP의 작동 방식 :

W3C 후보 권장 사항 인 CSP는

헤더를 사용하여 지침을 제공합니다. 주요 지시문에는 ,
• , , , ,
, , 및 가 포함됩니다. 지정되지 않은 지침의 폴백 역할을합니다 지시문은 일관된 패턴을 따릅니다 : 현재 도메인을 나타냅니다 URL 목록 : 허용 된 원산지를 지정하는 공간 구분 URL : 주어진 지침에 대한 자원을로드하는 것을 금지합니다 (예 : 블록 플러그인). Content-Security-Policy 현재 도메인에서만 리소스를 허용하는 기본 CSP : 다른 도메인에서로드하려는 시도는 콘솔 메시지와 함께 차단됩니다. CSP는 본질적으로 인라인 스크립트와 동적 코드 평가를 제한하여 주입 위험을 크게 완화합니다.
• 도메인이 지정된 동안 경로는 현재 지원되지 않습니다. 그러나 와일드 카드 ()는 하위 도메인 포함을 허용합니다 (예 :` .mycdn.com`). 각 지침은 명시적인 도메인/하위 도메인 목록이 필요합니다. 그들은 이전 지침에서 물려받지 않습니다. 데이터 URL의 경우 는 지침에 를 포함합니다 (예 : ).

  ( 및 )는 인라인 data: 및 태그를 허용하고 )은 동적 코드 평가를 가능하게합니다. 둘 다 옵트 인 정책을 사용합니다. 그것들을 생략하면 제한이 시행됩니다. 브라우저 호환성 : img-src 'data:' CSP 1.0은 광범위한 브라우저 지원을 즐깁니다. 구형 인터넷 익스플로러 버전은 호환성이 제한되어 있습니다. unsafe-inline script-src를 사용한 위반 모니터링 모니터링
  개발은 브라우저 콘솔 로깅을 사용하는 반면, 생산 환경은 style-src의 혜택을받습니다. 위반 세부 사항 (JSON 형식)이 포함 된 HTTP Post 요청을 지정된 URL에 보냅니다. <script></script> 예 : <style></style> 위반 (예 : 에서로드)은 unsafe-eval로 전송 된 JSON 보고서를 생성합니다. script-src 헤더 :

  테스트의 경우 를 사용하십시오. 이는 자원을 차단하지 않고 위반을보고하여 현장 중단없이 정책 개선을 허용합니다. 두 헤더 모두 동시에 사용할 수 있습니다 CSP 구현 : CSP는 HTTP 헤더를 통해 설정됩니다. 서버 구성 (APACHE, IIS, NGINX) 또는 프로그래밍 방식 (php 's , node.js's )을 사용할 수 있습니다.

  실제 예제 :

  Facebook과 Twitter는 와일드 카드 및 특정 도메인 수당을 활용하여 다양한 CSP 구현을 보여줍니다. CSP 레벨 2 향상 :

  CSP Level 2는 새로운 지시문 (,

  , , , report-uri), 개선 된보고 및 ​​인라인 스크립트 및 스타일에 대한 Nonce/HASH 기반 보호를 소개합니다.

  비 세기 기반 보호 : 무작위로 생성 된 Nonce가 CSP 헤더와 인라인 스크립트 태그에 포함되어 있습니다. 해시 기반 보호 :

  서버는 CSP 헤더에 포함 된 스크립트/스타일 블록의 해시를 계산합니다. 브라우저는 실행하기 전에이 해시를 확인합니다 report-uri 결론 :

  CSP는 리소스로드를 제어하여 웹 보안을 크게 향상시킵니다. 모니터링을 용이하게하고 레벨 2는 추가 개선을 도입합니다. CSP 구현은 강력하고 안전한 웹 애플리케이션을 구축하는 데 중요한 단계입니다.

  (참고 : 이미지 자리 표시자는 요청에 따라 변경되지 않았습니다.)

위 내용은 컨텐츠 보안 정책을 통한 웹 보안 개선의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!