CSP ( Content Security Policy )

XSS, 데이터 삽입 등의 공격을 방지하고 공격을 보고받을 수 있도록 새롭게 추가된 보안 계층 ( XSS와 CSP가 병행되어야 함 )

1. Inline-code를 유해하다고 간주

Inline-code란 태그의 src 속성으로 코드를 로드하지 않고 바로 삽입하는 코드들을 뜻한다. ex) <script>alert(1);</script>

또한 on* 으로 시작하는 이벤트 핸들러, javascript: 스키마까지 포함된다.

2. 텍스트를 실행 가능한 코드르 변환하는 매커니즘을 유해하다고 간주

ex) eval() , settimeout(), new Function() 등

지시문. 설명

default-src	-src로 끝나는 모든 리소스의 기본 동작을 제어합니다. 만약 CSP 구문 내에서 지정하지 않은 지시문이 존재한다면 default-src의 정의를 따라갑니다.
img-src	이미지를 로드할 수 있는 출처를 제어합니다.
script-src	스크립트 태그 관련 권한과 출처를 제어합니다.
style-src	스타일시트 관련 권한과 출처를 제어합니다.
child-src	페이지 내에 삽입된 프레임 컨텐츠에 대한 출처를 제어합니다.
base-uri	페이지의 <base> 태그에 나타날 수 있는 URL을 제어합니다.

티스토리툴바