콘텐츠 보안 정책 구성

Apigee Edge 문서입니다.
Apigee X 문서로 이동
정보

포털의 모든 페이지에 대해 콘텐츠 보안 정책(CSP)을 구성하여 교차 사이트 스크립팅(XSS)과 기타 코드 삽입 공격으로부터 보호합니다. CSP는 스크립트, 스타일, 이미지와 같은 콘텐츠의 신뢰할 수 있는 소스를 정의합니다. 정책을 구성하면 신뢰할 수 없는 소스에서 로드된 콘텐츠가 브라우저에 의해 차단됩니다.

CSP는 다음과 같이 포털의 모든 페이지에 Content-Security-Policy HTTP 응답 헤더로 추가됩니다.

Content-Security-Policy: policy

W3C 사이트의 콘텐츠 보안 정책 지시어에 정의된 대로 지시어를 사용하여 정책을 정의합니다.

CSP 헤더를 사용 설정하면 기본적으로 다음 CSP 지시어가 정의됩니다.

default-src 'unsafe-eval' 'unsafe-inline' * data:

default-src 지시어는 구성된 지시어가 없는 리소스 유형에 대한 기본 정책을 구성합니다.

다음 표에서는 기본 지시어의 일부로 정의된 정책을 설명합니다.

정책 액세스
'unsafe-inline' 인라인 리소스(예: 인라인 <script> 요소, javascript: URL, 인라인 이벤트 핸들러, 인라인 <style> 요소). 참고: 정책은 작은따옴표로 묶어야 합니다.
'unsafe-eval' 자바스크립트 eval()과 같은 안전하지 않은 동적 코드 평가 및 문자열에서 코드를 만드는 데 사용되는 유사한 메서드. 참고: 정책은 작은따옴표로 묶어야 합니다.
* (wildcard) data:, blob:, filesystem: 스키마를 제외한 모든 URL.
data: 데이터 스키마를 통해 로드되는 리소스(예: Base64로 인코딩된 이미지).

다음은 특정 리소스 유형을 제한하도록 CSP를 구성하는 예입니다.

정책 액세스
default-src 'none' 구성된 지시어가 없는 리소스 유형에 대한 액세스 권한은 없습니다.
img-src * 모든 이미지의 이미지 URL.
media-src https://example.com/ example.com 도메인의 HTTPS를 통한 동영상 또는 오디오 URL.
script-src *.example.com example.com의 하위 도메인에서의 스크립트 실행.
style-src 'self' css.example.com 사이트의 출처 또는 css.example.com 도메인에 있는 모든 스타일의 애플리케이션.

콘텐츠 보안 정책을 구성하려면 다음 단계를 따르세요.

  1. 게시 > 포털을 선택하고 포털을 선택합니다.
  2. 상단 탐색 메뉴의 드롭다운 메뉴에서 설정을 선택합니다.
  3. 또는 포털 방문 페이지에서 설정을 클릭합니다.
  4. Security(보안) 탭을 클릭합니다.
  5. 콘텐츠 보안 정책 사용 설정을 클릭합니다.
  6. CSP를 구성하거나 기본값을 그대로 둡니다.
  7. 저장을 클릭합니다.

언제든지 기본값 복원을 클릭하여 기본 CSP 정책을 복원할 수 있습니다.