개요
- CSP 헤더는 기본적으로 화이트리스트 방식으로 동작한다. 즉, CSP헤더가 설정되어 있으면 허용된 것 이외는 전부 거부한다.
- CSP 헤더중에서 일부 헤더는 해당 헤더와 관련된 부분만 제어한다. 예를 들면, frame-src 헤더는 프레임관련된 부분만 제어한다. frame-src 헤더가 존재한다고 자바스크립트나 css의 사용이 제한되는 것은 아니다.
향후 연구 과제
CSP 헤더 적용 범위에 대해서
- CSP헤더는 HTTP헤더와 HTML페이지의 메타태그에 붙일 수 있다.
- HTTP헤더는 기본적으로 전체 웹 어플리케이션에 적용, 메타 태그는 페이지 단위라고 생각된다.
- 그런데 양쪽에 적용되어 있는 경우는 어떻게 동작하는가?
- 예를들어 특정 페이지의 JS코드 해시를 메타태그에 적용한 페이지가 있다. 이때 전체 서버에 적용되는 HTTP 헤더의 CSP헤더도 있다면 브라우저는 어떻게 동작하는가?
- 또는 특정 페이지에만 CSP헤더가 적용되어 있는 경우, 다른 페이지에서는 CSP헤더가 없는 것처럼 동작하는가?