[Appscan] Content-Security-Policy

 

Content-Security-Policy 헤더 설정

 

CSP(Content Security Policy) 헤더를 사용하여 웹 페이지가 로드할 수 있는 외부 리소스의 출처를 제한하거나 허용할 수 있다는 것입니다.

 

 

Content-Security-Policy: default-src 'self';

 

defaul-src 'self'

현재 사이트에서만 리소스를 로드

외부 사이트에서 가져온 스크립트, 스타일, 이미지 등은 차단

CDN, API, 외부 스크립트 등이 작동하지 않을 수 있음

폰트도 차단될 수 있음

 

해결 방법

Content-Security-Policy: 
    default-src 'self';
    script-src 'self' https://cdnjs.cloudflare.com;
    style-src 'self' https://fonts.googleapis.com 'nonce-ABC123';
    img-src 'self' data:;
    font-src 'self' https://fonts.gstatic.com;
    frame-src 'self' https://www.youtube.com;
    connect-src 'self' https://api.example.com;
    report-uri /csp-violation-report;

 

 

 

• 내부 사용자가 실수로 XSS 코드가 포함된 입력을 남기면 내부 서비스 내에서 악용될 가능성이 있음.
• 예: 악성 JavaScript를 포함한 게시글을 올려 다른 내부 직원들이 클릭하면 감염될 수 있음.

default-src 'self' 설정 되어있어도

HTML 내부에 직접 작성된 <Script></sciprt> 구문 있으면 실행됨

 

script-src 'self' 도 외부에서 로드된 스크립트만 제한하는거라

인라인 스크립트는 차단 안됨