콘텐츠 보안 정책은 최신 브라우저에서 교차 사이트 스크립팅 공격의 위험과 영향을 크게 줄일 수 있습니다.
웹의 보안 모델은 동일 출처 정책을 기반으로 합니다. 예를 들어 https://mybank.com의 코드는 https://mybank.com의 데이터에만 액세스할 수 있어야 하고 https://evil.example.com는 액세스를 허용해서는 안 됩니다.
이론적으로 각 출처는 나머지 웹과 격리되어 있어 개발자에게 안전한 샌드박스를 제공합니다. 그러나 실제로 공격자들은 시스템을 파괴하는 여러 가지 방법을 발견했습니다.
예를 들어 교차 사이트 스크립팅 (XSS) 공격은 사이트를 속여 의도된 콘텐츠와 함께 악성 코드를 전송하도록 하여 동일 출처 정책을 우회합니다. 브라우저가 페이지에 표시되는 모든 코드를 합법적으로 해당 페이지의 보안 출처의 일부로 신뢰하기 때문에 이는 큰 문제입니다. XSS 요약본은 오래되었지만 공격자가 악성 코드를 삽입하여 이 신뢰를 위반하는 데 사용할 수 있는 방법의 대표적인 단면입니다. 공격자가 어떤 코드라도 성공적으로 삽입했다면 사용자 세션을 해킹하고 개인 정보에 액세스할 수 있는 권한을 얻은 것입니다.
이 페이지에서는 최신 브라우저에서 XSS 공격의 위험과 영향을 줄이기 위한 전략으로 콘텐츠 보안 정책 (CSP)을 간략히 설명합니다.
CSP의 구성요소
효과적인 CSP를 구현하려면 다음 단계를 따르세요.
- 허용 목록을 사용하여 허용되는 항목과 허용되지 않는 항목을 클라이언트에 알립니다.
- 사용 가능한 지시어를 알아보세요.
- 어떤 키워드를 사용하는지 알아보세요.
- 인라인 코드 및
eval()의 사용을 제한합니다. - 정책 위반을 적용하기 전에 서버에 신고하세요.
소스 허용 목록
XSS 공격은 애플리케이션에 포함된 스크립트와 제3자가 악의적으로 주입한 스크립트를 구별하지 못하는 브라우저를 악용합니다. 예를 들어 이 페이지 하단에 있는 Google +1 버튼은
이 페이지의 출처에 따라 https://apis.google.com/js/plusone.js에서
코드를 로드하여 실행합니다.
Google은 이 코드를 신뢰하지만 브라우저가 apis.google.com의 코드는 실행해도 안전하다는 것을 스스로 인식할 수는 없습니다. 반면 apis.evil.example.com의 코드는 안전하지 않을 수 있습니다. 브라우저는 소스에 관계없이 페이지에서 요청하는 모든 코드를 다운로드하여 실행합니다.
CSP의 Content-Security-Policy HTTP 헤더를 사용하면 신뢰할 수 있는 콘텐츠의 소스 허용 목록을 만들고 해당 소스의 리소스만 실행하거나 렌더링하도록 브라우저에 지시할 수 있습니다. 공격자가 스크립트를 삽입할 구멍을 찾을 수 있더라도 스크립트는 허용 목록과 일치하지 않으므로 실행되지 않습니다.
Google은 apis.google.com가 유효한 코드를 제공할 것이라고 믿고 있으며, Google도 그렇게 할 것이라고 믿습니다. 다음은 두 소스 중 하나에서 비롯된 경우에만 스크립트를 실행하도록 허용하는 정책의 예입니다.
Content-Security-Policy: script-src 'self' https://apis.google.com
script-src는 페이지의 스크립트 관련 권한 집합을 제어하는 지시어입니다. 이 헤더 'self'는 하나의 유효한 스크립트 소스로, https://apis.google.com는 다른 유효한 스크립트 소스로 사용됩니다. 이제 브라우저에서 HTTPS를 통해 apis.google.com 및 현재 페이지의 출처에서 JavaScript를 다운로드하고 실행할 수 있습니다(다른 출처에서는 다운로드 불가). 공격자가 사이트에 코드를 삽입하면 브라우저에서 오류가 발생하고 삽입된 스크립트를 실행하지 않습니다.
다양한 리소스에 정책 적용
CSP는 이전 예의 script-src를 비롯하여 페이지에서 로드할 수 있는 리소스를 세부적으로 제어할 수 있는 일련의 정책 지시문을 제공합니다.
다음 목록은 레벨 2의 나머지 리소스 지시어를 간략하게 설명합니다. 수준 3 사양은 초안이 작성되었지만 주요 브라우저에서는 대부분 구현되지 않았습니다.
base-uri- 페이지의
<base>요소에 표시될 수 있는 URL을 제한합니다. child-src- 작업자 및 삽입된 프레임 콘텐츠의 URL을 나열합니다. 예를 들어
child-src https://youtube.com를 사용하면 YouTube의 동영상을 삽입할 수 있지만 다른 출처의 동영상은 삽입할 수 없습니다. connect-src- XHR, WebSocket, EventSource를 사용하여 연결할 수 있는 출처를 제한합니다.
font-src- 웹 글꼴을 제공할 수 있는 출처를 지정합니다. 예를 들어
font-src https://themes.googleusercontent.com를 사용하여 Google의 웹 글꼴을 허용할 수 있습니다. form-action<form>태그에서 제출할 수 있는 유효한 엔드포인트를 나열합니다.frame-ancestors- 현재 페이지를 삽입할 수 있는 소스를 지정합니다. 이 지시어는
<frame>,<iframe>,<embed>,<applet>태그에 적용됩니다.<meta>태그 또는 HTML 리소스에 사용할 수 없습니다. frame-src- 이 지시어는 레벨 2에서 지원 중단되었지만 레벨 3에서 복원되었습니다. 이 속성이 없으면 브라우저는
child-src로 대체됩니다. img-src- 이미지를 로드할 수 있는 출처를 정의합니다.
media-src- 동영상 및 오디오를 전송할 수 있는 출처를 제한합니다.
object-src- Flash 및 기타 플러그인을 제어할 수 있습니다.
plugin-types- 페이지에서 호출할 수 있는 플러그인의 종류를 제한합니다.
report-uri- 콘텐츠 보안 정책 위반 시 브라우저에서 보고서를 전송하는 URL을 지정합니다. 이 지시어는
<meta>태그에서 사용할 수 없습니다. style-src- 페이지에서 스타일시트를 사용할 수 있는 출처를 제한합니다.
upgrade-insecure-requests- 사용자 에이전트에 HTTP를 HTTPS로 변경하여 URL 스키마를 다시 작성하도록 지시합니다. 이 지침은 다시 작성해야 하는 이전 URL이 많은 웹사이트에 적용됩니다.
worker-src- 작업자, 공유 작업자 또는 서비스 워커로 로드할 수 있는 URL을 제한하는 CSP 수준 3 지시어입니다. 2017년 7월 현재, 이 지침은 제한적으로 구현됩니다.
특정 지시어로 정책을 설정하지 않는 한, 브라우저는 기본적으로 제한 없이 모든 출처에서 연결된 리소스를 로드합니다. 기본값을 재정의하려면 default-src 지시어를 지정합니다. 이 지시어는 -src로 끝나는 지정되지 않은 지시어의 기본값을 정의합니다. 예를 들어 default-src를 https://example.com로 설정하고 font-src 지시어를 지정하지 않으면 https://example.com에서만 글꼴을 로드할 수 있습니다.
다음 지시어는 default-src를 대체로 사용하지 않습니다. 이를 설정하지 않으면 아무것도 허용하는 것과 같습니다.
base-uriform-actionframe-ancestorsplugin-typesreport-urisandbox
기본 CSP 구문
CSP 지시어를 사용하려면 지시어를 콜론으로 구분하여 HTTP 헤더에 나열하세요. 다음과 같이 특정 유형의 모든 필수 리소스를 단일 지시어에 나열해야 합니다.
script-src https://host1.com https://host2.com
다음은 여러 지시어의 예입니다. 이 경우 https://cdn.example.net에 있는 콘텐츠 전송
네트워크에서 모든 리소스를 로드하고 프레임이 있는 콘텐츠나 플러그인을 사용하지 않는
웹 앱이 여기에 해당합니다.
Content-Security-Policy: default-src https://cdn.example.net; child-src 'none'; object-src 'none'
구현 세부정보
최신 브라우저는 접두사가 없는 Content-Security-Policy 헤더를 지원합니다.
권장하는 헤더입니다. 온라인 튜토리얼에 표시될 수 있는 X-WebKit-CSP 및 X-Content-Security-Policy 헤더는 지원 중단되었습니다.
CSP는 페이지별로 정의됩니다. 보호하려는 모든 응답과 함께 HTTP 헤더를 전송해야 합니다. 이를 통해 특정 요구사항에 따라 특정 페이지의 정책을 미세 조정할 수 있습니다. 예를 들어 사이트의 한 페이지 집합에는 +1 버튼이 있는 반면 다른 페이지 집합에는 없는 경우 필요한 경우에만 버튼 코드가 로드되도록 허용할 수 있습니다.
각 지시어의 소스 목록은 유연합니다. 스키마(data:, https:) 또는 호스트 이름만(모든 스킴, 포트)과 일치하는 호스트 이름만(example.com, 모든 스키마, 모든 포트와 일치)부터 정규화된 URI(https://example.com:443, HTTPS만 일치, example.com만, 포트 443만 일치)까지 특정성 범위에 따라 소스를 지정할 수 있습니다. 와일드 카드는 허용되지만 스키마, 포트 또는 호스트 이름의 가장 왼쪽 위치에서만 허용됩니다. *://*.example.com:*는 모든 포트에서 스키마를 사용하여 example.com의 모든 하위 도메인 (example.com 자체는 아님)과 일치합니다.
소스 목록에는 다음 4개의 키워드도 허용됩니다.
'none'는 일치하는 결과가 없습니다.'self'는 현재 출처와 일치하지만 하위 도메인은 일치하지 않습니다.'unsafe-inline'는 인라인 JavaScript 및 CSS를 허용합니다. 자세한 내용은 인라인 코드 피하기를 참고하세요.'unsafe-eval'는eval와 같은 텍스트-자바스크립트 메커니즘을 허용합니다. 자세한 내용은eval()피하기를 참고하세요.
이러한 키워드에는 작은따옴표가 필요합니다. 예를 들어 script-src 'self'(따옴표 포함)는 현재 호스트에서 자바스크립트 실행을 승인합니다. script-src self(따옴표 없음)는 현재 호스트가 아닌 'self' 서버에서 자바스크립트를 허용합니다. 이는 의도된 것이 아닐 수 있습니다.
페이지 샌드박스화
sandbox 지시어가 하나 더 있습니다. 페이지에서 로드할 수 있는 리소스가 아닌 페이지에서 취할 수 있는 작업에 제한을 두기 때문에 지금까지 살펴본 다른 방법과는 약간 다릅니다. sandbox 지시어가 있는 경우 페이지는 sandbox 속성이 있는 <iframe> 내부에 로드된 것처럼 처리됩니다. 페이지를 고유한 출처로 강제 적용하고 양식 제출을 방지하는 등 페이지에 다양한 영향을 미칠 수 있습니다. 이 페이지의 범위를 벗어나지는 않지만
HTML5 사양의 '샌드박스' 섹션에서 유효한 샌드박스 속성에 관한
자세한 내용을 확인할 수 있습니다.
메타 태그
CSP에서 선호하는 전송 메커니즘은 HTTP 헤더입니다. 하지만 마크업에서 직접 페이지의 정책을 설정하는 것이 유용할 수 있습니다. http-equiv 속성이 있는 <meta> 태그를 사용하면 됩니다.
<meta http-equiv="Content-Security-Policy" content="default-src https://cdn.example.net; child-src 'none'; object-src 'none'">
frame-ancestors, report-uri 또는 sandbox에 사용할 수 없습니다.
인라인 코드 피하기
CSP 지시어에 사용되는 출처 기반 허용 목록만큼 강력하기는 하지만 XSS 공격으로 인한 가장 큰 위협인 인라인 스크립트 삽입은 해결할 수 없습니다.
공격자가 악성 페이로드가 직접 포함된 스크립트 태그 (예: <script>sendMyDataToEvilDotCom()</script>)를 삽입할 수 있는 경우 브라우저는 이를 합법적인 인라인 스크립트 태그와 구분할 수 없습니다. CSP는 인라인 스크립트를 완전히 금지하여 이 문제를 해결합니다.
이 금지에는 script 태그에 직접 삽입된 스크립트뿐만 아니라 인라인 이벤트 핸들러 및 javascript: URL도 포함됩니다. script 태그의 콘텐츠를 외부 파일로 이동하고 javascript: URL과 <a ...
onclick="[JAVASCRIPT]">를 적절한 addEventListener() 호출로 바꿔야 합니다. 예를 들어 다음을 다음과 같이 다시 작성할 수 있습니다.
<script>
function doAmazingThings() {
alert('YOU ARE AMAZING!');
}
</script>
<button onclick='doAmazingThings();'>Am I amazing?</button>
다음과 같이 바꿀 수 있습니다.
<!-- amazing.html -->
<script src='amazing.js'></script>
<button id='amazing'>Am I amazing?</button>
// amazing.js
function doAmazingThings() {
alert('YOU ARE AMAZING!');
}
document.addEventListener('DOMContentLoaded', function () {
document.getElementById('amazing')
.addEventListener('click', doAmazingThings);
});
다시 작성된 코드는 CSP와 호환될 뿐만 아니라 웹 디자인 권장사항과도 호환됩니다. 인라인 JavaScript는 코드를 혼란스럽게 만드는 방식으로 구조와 동작을 혼합합니다. 또한 캐시하고 컴파일하기가 더 복잡합니다. 코드를 외부 리소스로 이동하면 페이지 성능이 개선됩니다.
인라인 style 태그 및 속성을 외부 스타일시트로 옮기는 것도 CSS 기반 데이터 무단 반출 공격으로부터 사이트를 보호하는 것이 좋습니다.
인라인 스크립트 및 스타일을 일시적으로 허용하는 방법
'unsafe-inline'를 script-src 또는 style-src 지시어에서 허용된 소스로 추가하여 인라인 스크립트와 스타일을 사용 설정할 수 있습니다. 또한 CSP 수준 2를 사용하면 암호화 nonce (한 번 사용되는 숫자) 또는 다음과 같이 해시를 사용하여 특정 인라인 스크립트를 허용 목록에 추가할 수 있습니다.
nonce를 사용하려면 스크립트 태그에 nonce 속성을 지정하세요. 값은 신뢰할 수 있는 소스 목록에 있는 값과 일치해야 합니다. 예를 들면 다음과 같습니다.
<script nonce="EDNnf03nceIOfn39fn3e9h3sdfa">
// Some inline code I can't remove yet, but need to as soon as possible.
</script>
script-src 지시어에 nonce- 키워드 뒤에 nonce를 추가합니다.
Content-Security-Policy: script-src 'nonce-EDNnf03nceIOfn39fn3e9h3sdfa'
nonce는 페이지 요청마다 다시 생성해야 하며 추측할 수 없어야 합니다.
해시도 비슷한 방식으로 작동합니다. 스크립트 태그에 코드를 추가하는 대신 스크립트 자체의 SHA 해시를 만들어 script-src 지시어에 추가합니다.
예를 들어 페이지에 다음과 같은 내용이 포함되어 있다고 가정해 보겠습니다.
<script>alert('Hello, world.');</script>
정책에는 다음 내용이 포함되어야 합니다.
Content-Security-Policy: script-src 'sha256-qznLcsROx4GACP2dm0UCKCzCG-HiZ1guq6ZZDob_Tng='
sha*- 프리픽스는 해시를 생성하는 알고리즘을 지정합니다. 이전 예에서는 sha256-를 사용하지만 CSP는 sha384- 및 sha512-도 지원합니다. 해시를 생성할 때 <script> 태그를 생략합니다. 선행 공백과 후행 공백을 포함하여 대문자 사용과 공백은 중요합니다.
SHA 해시를 생성하는 솔루션은 여러 언어에서 사용할 수 있습니다. Chrome 40 이상을 사용하는 경우 DevTools를 연 다음 페이지를 새로고침할 수 있습니다. 콘솔 탭에는 각 인라인 스크립트에 올바른 SHA-256 해시가 포함된 오류 메시지가 표시됩니다.
eval() 사용 자제
공격자가 스크립트를 직접 삽입할 수 없더라도 애플리케이션을 속여 입력 텍스트를 실행 가능한 JavaScript로 변환하고 사용자를 대신하여 실행하도록 유도할 수 있습니다. 공격자는 eval(), new Function(), setTimeout([string], …), setInterval([string], ...) 모두 주입된 텍스트를 통해 악성 코드를 실행하는 데 사용할 수 있는 벡터입니다. 이 위험에 대한 CSP의 기본 응답은 이러한 벡터를 모두 완전히 차단하는 것입니다.
이는 애플리케이션을 빌드하는 방식에 다음과 같은 영향을 미칩니다.
eval에 의존하는 대신 내장된JSON.parse를 사용하여 JSON을 파싱해야 합니다. 안전한 JSON 작업은 IE8 이후의 모든 브라우저에서 사용할 수 있습니다.문자열 대신 인라인 함수를 사용하여 실행하는
setTimeout또는setInterval호출을 다시 작성해야 합니다. 예를 들어 페이지에 다음이 포함되어 있다고 가정해 보겠습니다.setTimeout("document.querySelector('a').style.display = 'none';", 10);다음과 같이 다시 작성하세요.
setTimeout(function () { document.querySelector('a').style.display = 'none'; }, 10); ```런타임 시 인라인 템플릿을 사용하지 않습니다. 많은 템플릿 라이브러리는 런타임 시 템플릿 생성 속도를 높이기 위해
new Function()를 자주 사용하므로 악성 텍스트를 평가할 수 있습니다. 일부 프레임워크는 즉시 CSP를 지원하여eval가 없으면 강력한 파서로 대체합니다. AngularJS의 ng-csp 지시어가 좋은 예입니다. 하지만 대신 Handlebars와 같이 사전 컴파일을 제공하는 템플릿 언어를 사용하는 것이 좋습니다. 템플릿을 사전 컴파일하면 사용자 환경을 가장 빠른 런타임 구현보다 빠르게 만들 수 있을 뿐만 아니라 사이트 보안을 강화할 수 있습니다.
eval() 또는 다른 텍스트-JavaScript 함수가 애플리케이션에 필수적인 경우 script-src 지시어에서 허용되는 소스로 'unsafe-eval'를 추가하여 사용 설정할 수 있습니다. 코드 삽입의 위험이 있으므로 이는 권장하지 않습니다.
정책 위반 신고
악성 삽입을 허용할 수 있는 버그를 서버에 알리려면 report-uri 지시어에 지정된 위치에 JSON 형식 위반 신고를 POST하도록 브라우저에 지시할 수 있습니다.
Content-Security-Policy: default-src 'self'; ...; report-uri /my_amazing_csp_report_parser;
이러한 보고서는 다음과 같이 표시됩니다.
{
"csp-report": {
"document-uri": "http://example.org/page.html",
"referrer": "http://evil.example.com/",
"blocked-uri": "http://evil.example.com/evil.js",
"violated-directive": "script-src 'self' https://apis.google.com",
"original-policy": "script-src 'self' https://apis.google.com; report-uri http://example.org/my_amazing_csp_report_parser"
}
}
보고서에는 정책 위반이 발생한 페이지 (document-uri), 해당 페이지의 referrer, 페이지의 정책을 위반한 리소스 (blocked-uri), 위반한 특정 지시어 (violated-directive), 페이지의 전체 정책 (original-policy) 등 정책 위반의 원인을 찾는 데 유용한 정보가 포함되어 있습니다.
보고서 전용
CSP를 이제 막 시작한 경우 정책을 변경하기 전에 보고서 전용 모드를 사용하여 앱 상태를 평가하는 것이 좋습니다. 이렇게 하려면 Content-Security-Policy 헤더를 전송하는 대신 Content-Security-Policy-Report-Only 헤더를 전송합니다.
Content-Security-Policy-Report-Only: default-src 'self'; ...; report-uri /my_amazing_csp_report_parser;
보고서 전용 모드에 지정된 정책은 제한된 리소스를 차단하지 않지만 지정한 위치로 위반 보고서를 전송합니다. 두 헤더를 모두 전송하여 한 정책을 시행하면서 다른 정책을 모니터링할 수도 있습니다. 이는 현재 정책을 시행하면서 CSP의 변경사항을 테스트하는 좋은 방법입니다. 새 정책의 보고를 사용 설정하고 위반 신고를 모니터링하고 버그를 수정한 후 새 정책이 만족스러우면 시행을 시작하세요.
실제 사용
앱 정책을 만들기 위한 첫 번째 단계는 앱이 로드하는 리소스를 평가하는 것입니다. 앱의 구조를 이해했다면 요구사항을 기반으로 정책을 만듭니다. 다음 섹션에서는 몇 가지 일반적인 사용 사례와 CSP 가이드라인에 따라 이를 지원하기 위한 결정 프로세스를 설명합니다.
소셜 미디어 위젯
- Facebook의 Like 버튼에는
여러 가지 구현 옵션이 있습니다.
<iframe>버전을 사용하여 사이트의 나머지 부분에서 샌드박스를 유지하는 것이 좋습니다. 제대로 작동하려면child-src https://facebook.com지시어가 필요합니다. - X의 트윗 버튼은 스크립트에 대한 액세스 권한이 있어야 합니다.
제공된 스크립트를 외부 자바스크립트 파일로 이동하고
script-src https://platform.twitter.com; child-src https://platform.twitter.com지시어를 사용합니다. - 다른 플랫폼에도 유사한 요구사항이 있으며 비슷하게 해결할 수 있습니다.
이러한 리소스를 테스트하려면
default-src를'none'로 설정하고 콘솔을 확인하여 사용 설정해야 하는 리소스를 확인하는 것이 좋습니다.
여러 위젯을 사용하려면 다음과 같이 지시어를 결합하세요.
script-src https://apis.google.com https://platform.twitter.com; child-src https://plusone.google.com https://facebook.com https://platform.twitter.com
이동제한
일부 웹사이트의 경우 로컬 리소스만 로드할 수 있도록 해야 합니다. 다음 예에서는 모든 항목을 차단하는 기본 정책 (default-src 'none')으로 시작하여 은행 사이트용 CSP를 개발합니다.
사이트는 https://cdn.mybank.net의 CDN에서 모든 이미지, 스타일, 스크립트를 로드하고 XHR을 사용하여 https://api.mybank.com/에 연결하여 데이터를 검색합니다. 프레임을 사용하지만 사이트에 로컬인 페이지에만 사용합니다 (서드 파티 출처 없음). 사이트에 플래시도, 글꼴도, 추가 기능도 없습니다. 전송할 수 있는 가장 제한적인 CSP 헤더는 다음과 같습니다.
Content-Security-Policy: default-src 'none'; script-src https://cdn.mybank.net; style-src https://cdn.mybank.net; img-src https://cdn.mybank.net; connect-src https://api.mybank.com; child-src 'self'
SSL 전용
다음은 포럼의 모든 리소스가 보안 채널을 통해서만 로드되도록 하고 싶지만 코딩 경험이 없고 인라인 스크립트와 스타일로 가득한 서드 파티 포럼 소프트웨어를 재작성할 리소스가 없는 포럼 관리자의 CSP 예입니다.
Content-Security-Policy: default-src https:; script-src https: 'unsafe-inline'; style-src https: 'unsafe-inline'
https:가 default-src에 지정되어 있지만 스크립트 및 스타일 지시어는 해당 소스를 자동으로 상속하지 않습니다. 각 지시문은 특정 유형의 리소스 기본값을 덮어씁니다.
CSP 표준 개발
콘텐츠 보안 정책 수준 2는 W3C 권장 표준입니다. W3C의 웹 애플리케이션 보안 실무 그룹은 사양의 다음 버전인 콘텐츠 보안 정책 수준 3을 개발하고 있습니다.
향후 출시될 기능에 대한 자세한 내용은 public-webappsec@ 메일링 리스트 자료실을 참조하세요.