World Wide Web의 보안 정책은 동일 출처 정책에 뿌리를 두고 있습니다. 예를 들어 www.jb51.net의 코드는 www.jb51.net의 데이터에만 액세스할 수 있지만 http://www.baidu.com에 대한 액세스 권한은 없습니다. 각 원본은 네트워크의 나머지 부분과 격리되어 개발자를 위한 안전한 샌드박스를 생성합니다. 이는 이론적으로는 완벽하지만 이제 공격자들은 이 시스템을 손상시킬 수 있는 영리한 방법을 찾아냈습니다. 이는 허위 콘텐츠 및 유인 클릭을 통해 동일 출처 정책을 우회하는 XSS 크로스 사이트 스크립팅 공격입니다. 이는 큰 문제이며, 공격자가 코드 삽입에 성공하면 상당한 양의 사용자 데이터가 유출될 수 있습니다. 이제 이러한 위험을 완화하기 위한 새롭고 효과적인 보안 방어 전략인 콘텐츠 보안 정책(CSP)을 소개합니다. 소스 화이트리스트 XSS 공격의 핵심은 브라우저가 스크립트가 제3자에 의해 삽입되었는지 아니면 실제로 애플리케이션의 일부인지 구별할 수 없다는 것입니다. 예를 들어, Google 1 버튼은 https://apis.google.com/js/plusone.js에서 코드를 로드하고 실행하지만 브라우저의 그림에서는 코드가 실제로 apis.google에서 왔는지 확인할 수 없습니다. .com , 다시 apis.evil.example.com에서 가져옵니다. 브라우저는 원본에 관계없이 페이지 요청 시 임의의 코드를 다운로드하고 실행합니다. CSP는 서버에서 제공하는 모든 콘텐츠를 맹목적으로 신뢰하는 대신 브라우저가 이러한 소스의 리소스만 실행하고 렌더링하도록 신뢰할 수 있는 소스의 화이트리스트를 생성할 수 있도록 Content-Security-Policy HTTP 헤더를 정의합니다. 공격자가 취약점을 찾아 스크립트를 주입하더라도 해당 소스가 화이트리스트에 포함되어 있지 않기 때문에 스크립트가 실행되지 않습니다. 위의 Google 1 버튼을 예로 들면, apis.google.com이 우리 자신과 마찬가지로 유효한 코드를 제공한다고 믿기 때문에 브라우저가 다음 두 가지 중 하나의 스크립트만 실행하도록 허용하는 정책을 정의할 수 있습니다. 소스. Content-Security-Policy:script-src 'self' https://apis.google.com 아주 간단하지 않나요? script-src는 지정된 페이지에 대한 스크립트 관련 권한을 제어할 수 있습니다. 이렇게 하면 브라우저는 http://apis.google.com 및 이 페이지 자체에서만 스크립트를 다운로드하고 실행합니다. 이 전략을 정의하면 브라우저는 삽입된 코드를 감지할 때 오류를 발생시킵니다(어떤 브라우저인지 확인하세요). 콘텐츠 보안 정책은 일반적으로 사용되는 모든 리소스에 적용됩니다. 스크립트 리소스가 가장 명백한 보안 위험이지만 CSP는 페이지에서 다음과 같은 다양한 유형의 리소스 로드를 제어할 수 있는 풍부한 지침 세트도 제공합니다. 다음 유형 : content-src: 연결 유형을 제한합니다(예: XHR, WebSockets 및 EventSource) font-src: 웹 글꼴의 소스를 제어합니다. 예를 들어 Google의 웹 글꼴은 Font-src https://themes.googleusercontent.com을 통해 사용할 수 있습니다. frame-src: 삽입할 수 있는 프레임의 소스를 나열합니다. 예를 들어, frame-src https://youtube.com은 YouTube 동영상 삽입만 허용합니다. . img-src: 로드 가능한 이미지의 소스를 정의합니다. media-src: 비디오 및 오디오 소스를 제한합니다. object-src: Flash 및 기타 플러그인의 소스를 제한합니다. style-src: Script-src와 유사하지만 CSS 파일에만 적용됩니다. 기본적으로 모든 설정은 아무런 제한 없이 켜져 있습니다. 여러 지시문을 세미콜론으로 구분할 수 있지만 script-src https://host1.com;script-src https://host2.com 형식에서는 두 번째 지시문이 무시됩니다. 올바른 작성 방법은 script-src https://host1.com https://host2.com 입니다. 예를 들어 콘텐츠 전송 네트워크(CDN, 예: https://cdn.example.net)에서 모든 리소스를 로드해야 하는 애플리케이션이 있고, 필요하지 않은 콘텐츠가 없다는 것을 알고 있는 경우 프레임이나 플러그인에 관계없이 전략은 다음과 같을 수 있습니다. Content-Security-Policy:default-src https://cdn.example.net; 세부 정보 예시에서 사용하는 HTTP 헤더는 Content-Security-Policy이지만 최신 브라우저는 이미 접두사를 통해 지원을 제공합니다. Firefox는 x-Content-Security-Policy를 사용하고 WebKit은 X-WebKit-CSP를 사용합니다. 앞으로는 통일된 표준으로 점진적으로 전환될 것입니다. 각 페이지에 따라 전략을 설정할 수 있어 유연성이 뛰어납니다. 사이트의 일부 페이지에는 Google 1 버튼이 있을 수 있고 다른 페이지에는 없을 수도 있기 때문입니다. 각 지시어의 소스 목록은 매우 유연할 수 있습니다. 패턴(data:, https:)을 지정하거나 범위(example.com, 모든 원본, 패턴 및 포트와 일치)의 호스트 이름을 지정할 수 있습니다. 호스트에서) 또는 전체 URI(https://example.com:443, 특히 https 프로토콜, example.com 도메인 이름, 포트 443)를 지정합니다. 소스 목록에서 사용할 수 있는 키워드가 4개 더 있습니다. "none": 아무것도 일치하지 않을 것으로 예상할 수 있습니다. "self": 현재 소스와 동일하지만 하위 도메인이 없습니다. "unsafe- inline ": 인라인 Javascript 및 CSS 허용 "unsafe-eval": eval과 같은 텍스트-JS 메커니즘 허용 이러한 키워드는 따옴표로 묶어야 합니다. 샌드박스 여기서 논의할 만한 또 다른 지시문이 있습니다. 바로 샌드박스입니다. 이는 페이지가 로드할 수 있는 리소스보다는 주로 페이지에서 수행되는 작업을 제어하는 다른 지침과 다소 일치하지 않습니다. 이 속성이 설정되면 페이지는 샌드박스 속성이 설정된 프레임처럼 동작합니다. 이는 양식 제출 방지 등 페이지에 광범위한 영향을 미칩니다. 이는 이 기사의 범위를 약간 벗어나지만 HTML5 사양의 "샌드박스 플래그 설정" 장에서 자세한 내용을 확인할 수 있습니다. 유해한 인라인 코드 CSP는 소스 화이트리스트를 기반으로 하지만 XSS 공격의 가장 큰 원인인 인라인 스크립트 삽입을 해결하지 못합니다. 공격자가 유해한 코드가 포함된 스크립트 태그( )를 삽입할 수 있는 경우 브라우저에는 이 태그를 구별할 수 있는 좋은 메커니즘이 없습니다. CSP는 인라인 스크립트를 완전히 비활성화해야만 이 문제를 해결할 수 있습니다. 이 금지 사항에는 스크립트에 포함된 스크립트 태그뿐만 아니라 인라인 이벤트 핸들러 및 javascrpt: URL도 포함됩니다. script 태그의 내용을 외부 파일에 넣고 javascript: 및 을 적절한 addEventListener 메소드로 바꿔야 합니다. 예를 들어
![[웹 프런트엔드] Node.js 빠른 시작](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
