이 페이지는 Apigee 및 Apigee Hybrid에 적용됩니다.
Apigee Edge 문서 보기
포털의 모든 페이지에 대해 콘텐츠 보안 정책(CSP)을 구성하여 교차 사이트 스크립팅(XSS)과 기타 코드 삽입 공격으로부터 보호합니다. CSP는 스크립트, 스타일, 이미지와 같은 콘텐츠에 대해 신뢰할 수 있는 소스를 정의합니다. 정책을 구성하면 신뢰할 수 없는 소스에서 로드된 콘텐츠가 브라우저에 의해 차단됩니다.
CSP는 다음과 같이 포털의 모든 페이지에 Content-Security-Policy
HTTP 응답 헤더로 추가됩니다.
Content-Security-Policy: policy
W3C 사이트의 콘텐츠 보안 정책 지시어에 정의된 대로 지시어를 사용하여 정책을 정의합니다.
CSP 헤더를 사용 설정하면 기본적으로 다음 CSP 지시어가 정의됩니다.
default-src 'unsafe-eval' 'unsafe-inline' * data:
default-src
지시어는 구성된 지시어가 없는 리소스 유형에 대한 기본 정책을 구성합니다.
다음 표에서는 기본 지시어의 일부로 정의된 정책을 설명합니다.
정책 | 액세스 |
---|---|
'unsafe-inline' |
인라인 리소스(예: 인라인 <script> 요소, javascript: URL, 인라인 이벤트 핸들러, 인라인 <style> 요소). 참고: 정책을 작은따옴표로 묶어야 합니다. |
'unsafe-eval' |
자바스크립트 eval() 과 같은 안전하지 않은 동적 코드 평가 및 문자열에서 코드를 만드는 데 사용되는 유사한 메서드. 참고: 정책을 작은따옴표로 묶어야 합니다. |
* (wildcard) |
data: , blob: , filesystem: 스키마를 제외한 모든 URL. |
data: |
데이터 스키마를 통해 로드되는 리소스(예: Base64로 인코딩된 이미지). |
다음은 특정 리소스 유형을 제한하도록 CSP를 구성하는 예시입니다.
정책 | 액세스 |
---|---|
default-src 'none' |
구성된 지시어가 없는 리소스 유형에 대한 액세스 권한은 없습니다. |
img-src * |
모든 이미지의 이미지 URL. |
media-src https://example.com/ |
example.com 도메인의 HTTPS를 통한 동영상 또는 오디오 URL. |
script-src *.example.com |
example.com 의 하위 도메인에서의 스크립트 실행. |
style-src 'self' css.example.com |
사이트의 출처 또는 css.example.com 도메인에 있는 모든 스타일의 애플리케이션. |
콘텐츠 보안 정책을 구성하려면 다음 안내를 따르세요.
- 게시 > 포털을 선택하고 포털을 선택합니다.
- 상단 탐색 메뉴의 드롭다운 메뉴에서 설정을 선택합니다.
- 또는 포털 방문 페이지에서 설정을 클릭합니다.
- Security(보안) 탭을 클릭합니다.
- 콘텐츠 보안 정책 사용을 클릭합니다.
- CSP를 구성하거나 기본값을 그대로 둡니다.
- 저장을 클릭합니다.
기본값 복원을 클릭하면 언제든지 기본 CSP 정책을 복원할 수 있습니다.