SOP 정책과 CSP 정책

SOP 정책이란? 

동일 출저 정책(Same Origin Policy,SOP)는 어떤 출처에서 불러온 문서나 자바스크립트 같은 클라이언트 스크립트에서 다른 출처에서 가져온 리소스와 상호작용하는 것을 제한하는 중요한 보안 방식이다.(예를 들어 a 출처에서 온 문서가 b 출처에서 가져온 리소스와 상호작용을 차단하는 방식) -> 잠재적으로 해로울 수 있는 문서를 분리함으로써 공격받을 수 있는 경로를 줄여준다.

동일 출처란?

두개의 url이 존재할 때 프로토콜, Host(도메인), 포트가 동일한 경우 동일 출처이다. 이중 하나라도 Origin과 다르면 그 url은 교차 출처이다.

 

https://www.manja.com
URL	출처
https://www.manja.com/about	동일 출처
https://www.manja.com/about?q=query	동일 출처
https://abc.manja.com	교차 출처
http://www.manja.com	교차 출처
https://www.manja.com:8080	교차 출처

 

CSP 정책이란?

콘텐츠 보안 정책(Content-Security policy, CSP)은 신뢰할 수 있는 웹페이지 컨텍스트에서 악의적인 콘텐츠 실행으로 인한 크로스 사이트 스크립팅, 클릭재킹 및 기타 코드 삽입 공격을 방지하기 위해 도입된 컴퓨터 보안 표준이다.  

쉽게 말해 웹에서 사용하는 이미지, 스크립트에 대한 규칙이다.

SOP와 유사하게 차단하지만 CSP의 경우 웹 사이트가 직접 룰을 적용해서 사용하게 된다.

 

CSP의 대표적인 헤더 

-      Content-Security-Policy : W3C에서 지정한 표준헤더이다. 대부분 이 헤더를 사용한다.

-      X-Content-Security-Policy : FireFox/IE 구형 브라우저에서 사용되는 헤더이다.

- X-WebKit-CSP : 크롬 기반의 구형 브라우저에서 사용되는 헤더이다.

 

CSP에서 제공하는 다양한 리소스 정책

CSP는 페이지가 로드하도록 허용되는 리소스를 세분화하여 제어할 수 있는 다양하고 충분한 정책 지시문을 제공한다.

-      Base-uri : 페이지의 <base>요소에 나타날 수 있는 url을 제한한다.

-      Child-src : 작업자와 삽입된 프레임 콘텐츠에 대한 url을 나열한다.

-      Form-action : <form>태그에서의 제출을 위해 유효한 엔드포인트를 나열한다.

-      Object-src : 플래시와 기타 플러그인에 대한 제어를 허용한다

-      Plugin-types : 페이지가 호출할 수 있는 플러그인의 종류를 제한한다.

-      Report-uri : 콘텐츠 보안 정책 위반 시 브라우저가 보고서를 보낼 url을 지정한다.

이외에도 다양한 지시문들이 있다.