Apigee Edge 문서입니다.
Apigee X 문서로 이동 정보
포털의 모든 페이지에 대해 콘텐츠 보안 정책(CSP)을 구성하여 교차 사이트 스크립팅(XSS)과 기타 코드 삽입 공격으로부터 보호합니다. CSP는 스크립트, 스타일, 이미지와 같은 콘텐츠의 신뢰할 수 있는 소스를 정의합니다. 정책을 구성하면 신뢰할 수 없는 소스에서 로드된 콘텐츠가 브라우저에 의해 차단됩니다.
CSP는 다음과 같이 포털의 모든 페이지에 Content-Security-Policy
HTTP 응답 헤더로 추가됩니다.
Content-Security-Policy: policy
W3C 사이트의 콘텐츠 보안 정책 지시어에 정의된 대로 지시어를 사용하여 정책을 정의합니다.
CSP 헤더를 사용 설정하면 기본적으로 다음 CSP 지시어가 정의됩니다.
default-src 'unsafe-eval' 'unsafe-inline' * data:
default-src
지시어는 구성된 지시어가 없는 리소스 유형에 대한 기본 정책을 구성합니다.
다음 표에서는 기본 지시어의 일부로 정의된 정책을 설명합니다.
정책 | 액세스 |
---|---|
'unsafe-inline' |
인라인 리소스(예: 인라인 <script> 요소, javascript: URL, 인라인 이벤트 핸들러, 인라인 <style> 요소). 참고: 정책은 작은따옴표로 묶어야 합니다. |
'unsafe-eval' |
자바스크립트 eval() 과 같은 안전하지 않은 동적 코드 평가 및 문자열에서 코드를 만드는 데 사용되는 유사한 메서드. 참고: 정책은 작은따옴표로 묶어야 합니다. |
* (wildcard) |
data: , blob: , filesystem: 스키마를 제외한 모든 URL. |
data: |
데이터 스키마를 통해 로드되는 리소스(예: Base64로 인코딩된 이미지). |
다음은 특정 리소스 유형을 제한하도록 CSP를 구성하는 예입니다.
정책 | 액세스 |
---|---|
default-src 'none' |
구성된 지시어가 없는 리소스 유형에 대한 액세스 권한은 없습니다. |
img-src * |
모든 이미지의 이미지 URL. |
media-src https://example.com/ |
example.com 도메인의 HTTPS를 통한 동영상 또는 오디오 URL. |
script-src *.example.com |
example.com 의 하위 도메인에서의 스크립트 실행. |
style-src 'self' css.example.com |
사이트의 출처 또는 css.example.com 도메인에 있는 모든 스타일의 애플리케이션. |
콘텐츠 보안 정책을 구성하려면 다음 단계를 따르세요.
- 게시 > 포털을 선택하고 포털을 선택합니다.
- 상단 탐색 메뉴의 드롭다운 메뉴에서 설정을 선택합니다.
- 또는 포털 방문 페이지에서 설정을 클릭합니다.
- Security(보안) 탭을 클릭합니다.
- 콘텐츠 보안 정책 사용 설정을 클릭합니다.
- CSP를 구성하거나 기본값을 그대로 둡니다.
- 저장을 클릭합니다.
언제든지 기본값 복원을 클릭하여 기본 CSP 정책을 복원할 수 있습니다.