Defaults.Exposed › 수정 › 교차 출처 격리 헤더 (COOP / CORP / COEP)

교차 출처 격리 헤더 (COOP / CORP / COEP) 수정 방법

다른 웹사이트가 귀사 사이트와 상호 작용하는 방식을 제어하는 세 가지 선택적 브라우저 지시입니다 — 팝업에서 사이트 열기, 이미지와 스크립트 임베드, 또는 귀사 리소스를 자신의 페이지로 가져오기. 현대적 강화이며 기본 필수 항목이 아닙니다. 스코어링에서 정보 제공입니다: 없어도 등급이 낮아지지 않습니다. 하지만 두 가지 안전한 것은 조용한 피싱 및 대역폭 절도 격차를 닫으며, 신중한 구매자의 IT 팀은 존재할 때 알아챕니다.

비즈니스에 미치는 핵심 영향: 이 세 헤더 중 두 가지는 정교한 팝업 피싱을 차단하고 다른 사이트가 이미지와 스크립트를 핫링크하는 것을 막습니다(대역폭 비용과 데이터 누출). 무료이며 개발자에게 약 15분이 걸리며 아무것도 손상시키지 않습니다. 세 번째는 고급이며 분석, 폰트, 임베드를 손상시킬 수 있습니다 — 대부분의 비즈니스는 꺼 두어야 합니다. 등급에 영향을 미치지 않으므로 패닉이 아닌 마무리로 취급하세요.

발생 가능한 비용

사기꾼이 팝업 창에서 귀사 실제 사이트를 열고 원격 제어를 유지합니다 — 고객이 잠깐 한눈을 팔 때 가짜 로그인으로 조용히 리디렉션합니다. 안전한 헤더(COOP)가 그 제어 링크를 완전히 차단합니다.
다른 웹사이트가 귀사 서버에서 직접 귀사 제품 사진, 로고, 스크립트를 임베드합니다(핫링킹) — 그들의 방문자가 귀사 서버에서 로드할 때마다 대역폭 비용을 귀사가 부담합니다.
잠재 고객의 보안 팀이 서명 전 헤더 스캔을 실행하여 귀사가 현대적 교차 출처 강화를 추가한 것을 봅니다.
개발자가 철저하게 하려다가 고급 격리 헤더(COEP)를 테스트 없이 켜서 Google Analytics, 웹 폰트, 임베드된 예약 위젯이 하루아침에 고장납니다. 어느 헤더가 안전하고 어느 것이 위험한지 알면 자해를 피할 수 있습니다.
감사자의 체크리스트에서 교차 출처 격리가 언급됩니다. 두 가지 안전한 것에서 '존재하고 올바름'을 보여주는 것이 낫습니다.

중요한 이유. 이것들은 전향적인 브라우저 강화 헤더입니다. 방법론에서 세 가지 모두 정보 제공입니다 — 등급을 변동시키지 않습니다. 보고하는 이유는 두 가지 안전한 것(COOP와 CORP)이 진짜 가치가 있기 때문입니다: 무료, 빠르고, 아무것도 손상시키지 않으면서 실제 팝업 피싱 및 리소스 절도 격차를 닫습니다.

쉬운 설명

누군가 웹사이트를 방문하면 브라우저는 귀사 페이지를 격리되어 로드하는 것이 아니라 다른 웹사이트가 귀사와 상호 작용하는 방식도 결정합니다. 다른 사이트가 귀사 사이트를 팝업에서 열고 제어를 유지할 수 있나요? 다른 사이트가 귀사 이미지와 스크립트를 자신의 페이지에 임베드할 수 있나요?

세 헤더가 정확히 그 질문들에 답하는 짧고 보이지 않는 지시입니다:

COOP — Cross-Origin-Opener-Policy. 팝업 창에서 귀사를 여는 다른 사이트가 원격 제어를 유지할 수 있는지 제어합니다.
CORP — Cross-Origin-Resource-Policy. 다른 사이트가 귀사 이미지, 스크립트, 기타 파일을 자체 페이지에 임베드할 수 있는지 제어합니다.
COEP — Cross-Origin-Embedder-Policy. 고급 제어로, COOP와 결합되어 페이지를 “격리”하여 특정 강력한 브라우저 기능을 안전하게 사용할 수 있습니다.

둘(COOP와 CORP)은 안전하게 추가하고 진정으로 유용합니다. 세 번째(COEP)는 고급이며 부주의하게 켜면 손상을 줄 수 있습니다.

먼저 알아야 할 가장 중요한 것: 스코어링에서 세 가지 모두 정보 제공입니다. 등급에 영향을 미치지 않습니다.

비즈니스 피해 사례

원격 제어를 유지하는 팝업 피싱. COOP 없이 사기꾼의 페이지가 팝업 창에서 실제 웹사이트를 열고 활성 참조를 유지할 수 있습니다. COOP를 “same-origin”으로 설정하면 그 제어 링크가 끊어집니다.
대역폭을 훔치는 다른 사이트(그리고 귀사 자산을 원치 않는 곳에 노출). CORP 없이 인터넷의 어떤 웹사이트도 귀사 서버에서 직접 귀사 제품 사진, 로고, 스크립트를 임베드할 수 있습니다. CORP를 “same-origin”으로 설정하면 외부 사이트가 귀사 리소스를 임베드하지 못합니다.
잘못된 헤더로 인한 자해 장애. COEP는 귀사가 로드하는 모든 리소스가 명시적으로 옵트인하도록 요구합니다. 테스트 없이 켜면 분석, 웹 폰트, 임베드된 지도, 예약 위젯, 서드파티 스크립트가 모두 로드되지 않을 수 있습니다.

각각의 실제 내용

COOP — Cross-Origin-Opener-Policy (안전, 권장)

다른 웹사이트가 팝업이나 window.open을 사용해 귀사를 열면 두 창이 서로 참조를 유지할 수 있습니다. COOP: same-origin은 그 관계를 끊습니다. 일반 탐색, 귀사 내부 링크, 일반 탐색은 완전히 영향받지 않습니다.

좋은 상태는: Cross-Origin-Opener-Policy: same-origin.

CORP — Cross-Origin-Resource-Policy (안전, 권장)

기본적으로 귀사 이미지, 스크립트, 기타 파일은 어디서나 임베드될 수 있습니다. CORP: same-origin은 귀사 리소스의 교차 출처 임베딩을 거부하도록 브라우저에게 지시합니다. 귀사 자체 사이트는 여전히 자체 리소스를 정확히 이전과 같이 로드하며, 외부 사이트만 차단됩니다.

좋은 상태는: Cross-Origin-Resource-Policy: same-origin.

COEP — Cross-Origin-Embedder-Policy (고급, 보통 꺼 두기)

COEP는 “교차 출처 격리”를 완성합니다: COOP와 결합하여 귀사 페이지가 로드하는 모든 리소스가 명시적으로 옵트인하도록 요구합니다. 하지만 귀사가 로드하는 모든 것에서 옵트인을 요구하므로 서드파티 도구를 쉽게 손상시킵니다.

좋은 상태는: 그것이 필요한 드문 사이트의 경우 Cross-Origin-Embedder-Policy: credentialless. 다른 모든 것은 없는 것이 좋습니다.

수정 방법 (무료, 약 15분)

IT 담당자나 개발자에게 이 섹션을 전달하세요 — 수정은 무료입니다. 소유자를 위한 유일한 지시: 두 가지 안전한 것을 하고 테스트 없이 COEP를 활성화하지 마세요.

두 가지 안전한 헤더(모든 사람에게 권장)

Cloudflare — 규칙 → Transform 규칙 → 응답 헤더 수정 → 설정:

Cross-Origin-Opener-Policy = same-origin
Cross-Origin-Resource-Policy = same-origin

Nginx:

add_header Cross-Origin-Opener-Policy   "same-origin" always;
add_header Cross-Origin-Resource-Policy "same-origin" always;

Apache:

Header always set Cross-Origin-Opener-Policy   "same-origin"
Header always set Cross-Origin-Resource-Policy "same-origin"

고급 헤더(특별히 필요한 경우만)

먼저 스테이징에서 테스트하지 않고 켜지 마세요. COEP는 분석, 폰트, 임베드된 위젯을 손상시킬 수 있습니다.

credentialless를 사용하세요 — require-corp보다 외부 리소스를 손상시킬 가능성이 낮습니다. 뭔가가 손상되고 COEP가 잠금 해제하는 기능이 실제로 필요하지 않다면 헤더를 제거하세요 — 없어도 패널티가 없습니다.

흔한 실수

“철저하게” COEP를 켜고 사이트를 손상시킴. 이것이 큰 것입니다. COEP는 귀사가 로드하는 모든 것에서 옵트인을 요구합니다. 테스트 없이 켜면 분석, 폰트, 임베드가 사라질 수 있습니다.
스캐너가 언급했다고 긴급으로 취급. 이것들은 정보 제공입니다. 채점된 웹 헤더(HTTPS, HSTS, CSP, 클릭재킹, MIME 스니핑)가 먼저입니다.
임베드 가능한 자산을 실제로 게시할 때 CORP를 너무 엄격하게 설정. 귀사가 의도적으로 다른 사이트가 사용할 로고나 배지를 제공한다면 그 특정 응답에서 완화하세요.
HTTPS 자물쇠와 혼동. HTTPS는 연결을 암호화합니다; 이것들은 교차 사이트 상호 작용을 제어합니다.

등급에 관한 참고 사항

완전히 명확하게 말씀드립니다: 이 세 가지 검사 중 어느 것도 등급에 영향을 미치지 않습니다. 방법론에서 정보 제공으로 등록되어 있으며 없어도 아무것도 잃지 않습니다. 두 가지 안전한 것을 추가하면 무료로 실제(틈새이지만) 격차 몇 가지를 닫았습니다. 이 페이지를 생각하는 올바른 방법: 선택적 마무리, 피해야 할 하나의 명확히 표시된 함정.

FAQ

이것들이 등급에 영향을 미치지 않습니다 — 신경 써야 하나요?

두 가지는 그렇습니다; 하나는 아마 아닙니다. COOP와 CORP는 무료이며 몇 분이 걸리고 사이트를 손상시키지 않습니다 — 실제(틈새이지만) 공격 경로를 닫으므로 저렴한 위생 조치로 가치가 있습니다. COEP는 고급이며 서드파티 도구를 손상시킬 수 있으므로 대부분의 비즈니스는 끄도록 두어야 합니다.

기술 지식이 없는데 조치해야 하나요?

직접 할 필요도 없고 긴급하지도 않습니다. 정보 제공이므로 건너뛰어도 등급에 아무 영향이 없습니다. 두 가지 안전한 것을 추가하고 싶다면 '수정 방법' 섹션을 웹사이트나 CDN을 담당하는 사람에게 전달하세요. COEP는 테스트 없이 켜지 말라고 명시적으로 말하세요.

이것들과 등급에 영향을 미치는 헤더의 차이는 무엇인가요?

채점된 웹 보안 헤더 — HTTPS 리디렉션, HSTS, 콘텐츠 보안 정책, 클릭재킹 방지(X-Frame-Options), MIME 스니핑 방지 — 는 일반적이고 광범위하게 악용되는 공격을 방어하므로 없으면 점수가 감점됩니다. 이 페이지의 세 헤더(COOP, CORP, COEP)는 더 새롭고 특화된 브라우저 격리 제어입니다.

COOP나 CORP를 추가하면 웹사이트나 파트너 통합이 손상되나요?

권장 설정(둘 다 'same-origin')은 안전하도록 설계되었습니다. 실제로 손상 위험이 있는 것은 COEP이며 — 테스트 없이 켜지 마세요.

'핫링킹'이 실제로 얼마나 비용이 드나요?

다른 사이트가 귀사 서버에서 직접 이미지나 스크립트를 임베드하면 그들의 방문자가 귀사로부터 다운로드하며 — 귀사 대역폭 요금으로, 귀사가 승인하지 않은 컨텍스트에 귀사 자산이 표시됩니다. CORP('same-origin')가 이를 브라우저 수준에서 차단합니다.

각각에 대해 '좋은' 설정은 어떤 것인가요?

COOP: 'same-origin'으로 설정된 Cross-Origin-Opener-Policy 헤더. CORP: 'same-origin'으로 설정된 Cross-Origin-Resource-Policy 헤더. COEP: Cross-Origin-Embedder-Policy 헤더 — 설정한다면 'require-corp'보다 안전한 값 'credentialless'를 사용하세요.