웹 보안 공격 - 알아야 하는 보안 정책들

CORS

Cross-Origin Resource Sharing

개발자가 지정한 프로토콜, 도메일, 포트가 아니라면 리소스를 가져올 수 없다.

Response header 를 보고 허용 여부를 브라우저가 정한다.

브라우저마다 구현이 다를 수 있다.

 

CSP

Content - Security - Policy

실행 가능한 리소스에 대한 Whitelist를 정하는 정책

웹 사이트가 허용되지 않은 리소스를 요청하지 못하도록 막는다.

XSS방지에 도움이 된다 - 기본적으로 inline script는 실행을 막는다.

메타 태그 혹은 HTTP Header로 설정 가능

 

 

 

HTTPS

HTTP프로토콜의 암호화된 버전

소켓 통신에 암호화된 데이터를 전송한다.

SSL인증서를 이용한다.