Baseline Widely available
HTTP Content-Security-Policy (CSP) default-src 구문ì ë¤ë¥¸ CSP êµ¬ë¬¸ì´ ì ìëì§ ìììë ì´ë¥¼ ëì²´íë ì©ëë¡ ì¬ì©ë©ëë¤. as a fallback for the other CSP fetch directives. ë¤ìê³¼ ê°ì êµ¬ë¬¸ì´ ìë ê²½ì°, default-src 구문ì ì°¾ìì ì¬ì©í©ëë¤:
child-srcconnect-srcfont-srcframe-srcimg-srcmanifest-srcmedia-srcobject-srcscript-srcstyle-srcworker-srcíë ì´ìì ì¶ì²ê° default-src ì ì±
ì ìí´ì íì©ë ì ììµëë¤:
Content-Security-Policy: default-src <source>; Content-Security-Policy: default-src <source> <source>;Sources
<source> ìë ë¤ìì íëª©ì´ í¬í¨ë©ëë¤.
ë¶ìì ì¼ë¡ URL scheme ë°/ëë port ë²í¸ê° í¬í¨ë ëë©ì¸ ëë IP 주ìì ê°ì ì¸í°ë· í¸ì¤í¸, ëí ì¬ì´í¸ì 주ì ë° í¬í¸ì ìì¼í¸ ì¹´ë를 ì¬ì©í ì ë ììµëë¤ ('*'), ì´ë¥¼ ì¬ì©íë©´ 모ë 주ì ëë í¬í¸ììì ì í¨í¨ì ëíë
ëë¤. ì:
http://*.example.com: http: 를 ì¬ì©íë 모ë ìë¸ëë©ì¸ìì 매ì¹ë©mail.example.com:443: 443 í¬í¸ë¡ mail.example.comì ì ê·¼íë ê²½ì° ë§¤ì¹ë¨https://store.example.com: store.example.com를 https:ë¡ ì ê·¼íë ê²½ì° ë§¤ì¹ë¨'http:' ëë 'https:'ì ê°ì ì¤í¤ë§. ì½ë¡ ì´ íìì ì´ë©°, ìì ë°ìíë ì¬ì©íì§ ììì¼ í©ëë¤. ì¤í¤ë§ë ì§ì í ì ììµëë¤ (ì¶ì²íì§ ìì).
data:data: URIs 를 컨í
ì¸ ì¶ì²ë¡ íì©í©ëë¤. ì´ê²ì ìì íì§ ììµëë¤. 공격ìê° ììì ë°ì´í°ë¥¼ 주ì
í ìë ì기 ë문ì scriptìë ì¬ì©íì§ ë§ììì¤.mediastream:mediastream: URIs ì ì½í
ì¸ ì¶ì²ë¡ íì©í©ëë¤.blob:blob: URIsì ì½í
ì¸ ì¶ì²ë¡ íì©í©ëë¤.filesystem:filesystem: URIs ì ì½í
ì¸ ì¶ì²ë¡ íì©í©ëë¤.'self'
ëì¼í URL ì²´ê³ì í¬í¸ë¥¼ í¬í¨íì¬ ë³´í¸ëë íì¼ì ì본ì 참조í©ëë¤. ìì ë°ìíê° íìì ì¼ë¡ ìì´ì¼ í©ëë¤. ì¼ë¶ ë¸ë¼ì°ì ììë blob ì filesystem 를 source ì§ì문ìì ì ì¸í©ëë¤. ì´ë¬í ì½í
ì¸ íì
ì íì©í´ì¼ íë ì¬ì´í¸ë ë°ì´í° attribute를 ì¬ì©íì¬ ì§ì í ì ììµëë¤.
'unsafe-inline'
ì¸ë¼ì¸ <script> íê·¸, javascript: URLs, ì¸ë¼ì¸ ì´ë²¤í¸ í¸ë¤ë¬, ê·¸ë¦¬ê³ ì¸ë¼ì¸ <style> íê·¸ì ê°ì ì¸ë¼ì¸ ììë¤ì 모ë íì©í©ëë¤. ìì ë°ìí를 ì¬ì©í´ì¼ë§ í©ëë¤.
'unsafe-eval'
eval() ë° ë¬¸ìì´ìì ì½ë를 ìì±íë í¨ìì ì¬ì©ì íì©í©ëë¤. ìì ë°ìí를 ì¬ì©í´ì¼ë§ í©ëë¤.
'none'
ì무ê²ë 참조 ëì§ ììµëë¤. ì¦ ìë¬´ë° URLë 매ì¹ëì§ ììµëë¤. ìì ë°ìí를 ì¬ì©í´ì¼ë§ í©ëë¤.
ìí¸í nonce ê°ì ì´ì©íì¬ í¹ì ì¸ë¼ì¸ ì¤í¬ë¦½í¸ì ëíì¬ íì©í©ëë¤(nonceë íë²ë§ ì¬ì©). ìë²ë CSPì ì±
ì ì ì¡í ëë§ë¤ ê³ ì í nonce를 ìì±í´ì¼ë§ í©ëë¤. 리ìì¤ ì ì±
ì ì°ííë ê²ì ê°ë¨í ì¼ì´ê¸° ë문ì ìì¬ í ì¬ì§ê° ìë nonce ê°ì ì ê³µíë ê²ì´ ì¤ìí©ëë¤. unsafe inline script ìì 를 ì°¸ê³ í´ì£¼ì¸ì. nonceë 'unsafe-inline' ì í¨ê» ì¬ì©í ê²½ì° ëª¨ë ë¸ë¼ì°ì ììë ì¬ì©íê² ëë©´ 'unsafe-inline'ê° ë¬´ìëì§ë§, 구í ë¸ë¼ì°ì ììë nonceê° ì ì©ëì§ ììµëë¤.
ì¤í¬ë¦½í¸ ëë ì¤íì¼ì sha256, sha384 or sha512 í´ì¬. ì´ê²ì ëì¬: ë¡ êµ¬ë¶ë í´ì¬ë¥¼ ì¬ì©ë ìí¸í ìê³ ë¦¬ì¦ê³¼ base64ë¡ ì¸ì½ë©í ì¤í¬ë¦½í¸ ë° ì¤íì¼ë¡ 구ì±ë©ëë¤. í´ì¬ë¥¼ ìì±í ë ì ëë¡ <script> ëë <style> í그를 í¬í¨íì§ë§ê³ ëì문ìì ì ë¤ì 공백ì 주ìí´ì¼ í©ëë¤.unsafe inline script ìì 를 ì°¸ê³ í´ì£¼ì¸ì. CSP 2.0ììë ì¸ë¼ì¸ ì¤í¬ë¦½í¸ììë§ ì ì© ê°ë¥íì§ë§, CSP 3.0ììë ì¸ë¶ ì¤í¬ë¦½í¸ë¥¼ script-src ìì íì©í기 ìí´ì ì¬ì©í©ëë¤.
The strict-dynamic source expression specifies that the trust explicitly given to a script present in the markup, by accompanying it with a nonce or a hash, shall be propagated to all the scripts loaded by that root script. At the same time, any whitelist or source expressions such as 'self' or 'unsafe-inline' will be ignored. See script-src for an example.
default-srcì ìì ë¶ê°
ë¤ë¥¸ êµ¬ë¬¸ì´ ì§ì ëë©´ default-srcë ë ì´ì ìí¥ì ì£¼ì§ ììµëë¤. ìëì í¤ëë
Content-Security-Policy: default-src 'self'; script-src https://example.com
ë¤ìê³¼ ê°ìµëë¤:
Content-Security-Policy: connect-src 'self';
font-src 'self';
frame-src 'self';
img-src 'self';
manifest-src 'self';
media-src 'self';
object-src 'self';
script-src https://example.com;
style-src 'self';
worker-src 'self'
ëª
ì¸ì Browser compatibility See also
RetroSearch is an open source project built by @garambo | Open a GitHub Issue
Search and Browse the WWW like it's 1997 | Search results from DuckDuckGo
HTML:
3.2
| Encoding:
UTF-8
| Version:
0.7.4