CSP 헤더 생성기

CSP 헤더 생성기란?

CSP(Content Security Policy) 헤더 생성기는 HTTP 응답 헤더인 Content-Security-Policy를 구성하는 데 도움을 줍니다. CSP는 브라우저가 신뢰할 수 있는 콘텐츠 소스를 지정하여 XSS(크로스 사이트 스크립팅), 데이터 주입 및 기타 코드 주입 공격을 방지하는 보안 표준입니다.

CSP 생성기 사용법

1. 체크박스를 사용하여 필요한 디렉티브를 활성화합니다.
2. 각 디렉티브에 허용할 소스를 입력합니다 (예: 'self', https://cdn.example.com).
3. “CSP 헤더 생성”을 클릭하여 전체 헤더 문자열을 생성합니다.
4. 결과를 복사하여 서버 설정이나 meta 태그에 추가합니다.

일반적인 CSP 소스 값

자주 사용되는 값으로는 'self'(동일 출처), 'none'(모두 차단), 'unsafe-inline'(인라인 스크립트/스타일 허용), 'unsafe-eval'(eval 허용), data:(데이터 URI 허용), 특정 도메인 URL이 있습니다. 디렉티브당 여러 소스를 조합하면 브라우저가 로드할 수 있는 것을 세밀하게 제어할 수 있습니다.

자주 묻는 질문

default-src를 설정하지 않으면 어떻게 되나요?

default-src가 없으면 지정되지 않은 디렉티브에는 제한이 없습니다. 폴백으로 default-src 'self'를 설정한 후 필요에 따라 특정 디렉티브를 재정의하는 것을 권장합니다.

HTTP 헤더 대신 meta 태그로 CSP를 사용할 수 있나요?

네, HTML head에 <meta http-equiv="Content-Security-Policy" content="...">를 추가할 수 있습니다. 하지만 frame-ancestors 같은 일부 디렉티브는 HTTP 헤더로만 작동합니다.