Defaults.Exposed › Glossary › Content-Security-Policy (CSP)

Content-Security-Policy (CSP)

Also known as: CSP, Content Security Policy

사이트가 브라우저에 어떤 코드와 콘텐츠를 실행할 수 있는지 알려주는 규칙집 — 공격자가 악성 스크립트를 페이지에 삽입하는 것에 대한 주된 방어수단입니다.

무엇인가요?

Content-Security-Policy(CSP)는 웹사이트가 방문자의 브라우저에 어떤 스크립트, 이미지, 스타일 및 기타 콘텐츠가 로드되고 실행되도록 허용되는지 — 그리고 다른 모든 것은 차단 — 알려주는 규칙 목록입니다. 브라우저에 초대 명단을 주고 목록에 없는 사람은 거절하도록 지시하는 것과 같습니다.

비즈니스에 왜 중요한가요?

가장 일반적인 웹사이트 공격 중 하나는 악성 코드를 페이지에 몰래 넣는 것 — 댓글란, 양식, 하이재킹된 플러그인, 또는 침해된 서드파티 위젯을 통해. 그 코드가 방문자의 브라우저에서 실행되면 로그인을 도용하거나, 세션을 하이재킹하거나, 결제 시 카드 정보를 스키밍하거나, 페이지를 변조할 수 있습니다.

CSP는 이것에 대한 안전벨트입니다. 공격자가 코드를 삽입하더라도, 브라우저는 승인된 목록에 없는 것은 실행을 거부합니다 — 공격이 작동하는 대신 실패합니다. 결제나 로그인을 받는 비즈니스에게 이것은 추가할 수 있는 가장 가치 높은 보호 중 하나이며 비용은 없습니다.

확인 및 조치 방법

무료 점검 도구는 사이트가 Content-Security-Policy를 보내는지 알려주고 없으면 표시합니다. CSP는 귀사 사이트의 특정 콘텐츠를 나열하기 때문에 맞춤 설정이 필요합니다 — CSP 수정 가이드에서 귀사를 보호하면서 사이트가 정당하게 사용하는 것을 깨뜨리지 않도록 신중하게 구축하는 방법을 안내합니다. 설정은 무료입니다.

Want to fix this on your own domain? See the free guide →