SOP 정책과 CSP 정책
SOP 정책이란?
동일 출저 정책(Same Origin Policy,SOP)는 어떤 출처에서 불러온 문서나 자바스크립트 같은 클라이언트 스크립트에서 다른 출처에서 가져온 리소스와 상호작용하는 것을 제한하는 중요한 보안 방식이다.(예를 들어 a 출처에서 온 문서가 b 출처에서 가져온 리소스와 상호작용을 차단하는 방식) -> 잠재적으로 해로울 수 있는 문서를 분리함으로써 공격받을 수 있는 경로를 줄여준다.
동일 출처란?
두개의 url이 존재할 때 프로토콜, Host(도메인), 포트가 동일한 경우 동일 출처이다. 이중 하나라도 Origin과 다르면 그 url은 교차 출처이다.
https://www.manja.com | |
URL | 출처 |
https://www.manja.com/about | 동일 출처 |
https://www.manja.com/about?q=query | 동일 출처 |
https://abc.manja.com | 교차 출처 |
http://www.manja.com | 교차 출처 |
https://www.manja.com:8080 | 교차 출처 |
CSP 정책이란?
콘텐츠 보안 정책(Content-Security policy, CSP)은 신뢰할 수 있는 웹페이지 컨텍스트에서 악의적인 콘텐츠 실행으로 인한 크로스 사이트 스크립팅, 클릭재킹 및 기타 코드 삽입 공격을 방지하기 위해 도입된 컴퓨터 보안 표준이다.
쉽게 말해 웹에서 사용하는 이미지, 스크립트에 대한 규칙이다.
SOP와 유사하게 차단하지만 CSP의 경우 웹 사이트가 직접 룰을 적용해서 사용하게 된다.
CSP의 대표적인 헤더
- Content-Security-Policy : W3C에서 지정한 표준헤더이다. 대부분 이 헤더를 사용한다.
- X-Content-Security-Policy : FireFox/IE 구형 브라우저에서 사용되는 헤더이다.
- X-WebKit-CSP : 크롬 기반의 구형 브라우저에서 사용되는 헤더이다.
CSP에서 제공하는 다양한 리소스 정책
CSP는 페이지가 로드하도록 허용되는 리소스를 세분화하여 제어할 수 있는 다양하고 충분한 정책 지시문을 제공한다.
- Base-uri : 페이지의 <base>요소에 나타날 수 있는 url을 제한한다.
- Child-src : 작업자와 삽입된 프레임 콘텐츠에 대한 url을 나열한다.
- Form-action : <form>태그에서의 제출을 위해 유효한 엔드포인트를 나열한다.
- Object-src : 플래시와 기타 플러그인에 대한 제어를 허용한다
- Plugin-types : 페이지가 호출할 수 있는 플러그인의 종류를 제한한다.
- Report-uri : 콘텐츠 보안 정책 위반 시 브라우저가 보고서를 보낼 url을 지정한다.
이외에도 다양한 지시문들이 있다.
'seKUrity' 카테고리의 다른 글
상대경로와 절대경로 (0) | 2023.03.30 |
---|---|
불충분한 인증/ 인가 취약점 (0) | 2023.03.28 |
XSS game 1-6번 풀이 (0) | 2023.03.23 |
SSTI (0) | 2023.03.08 |
SQL injection (0) | 2023.03.08 |