Content Security Policy 설정

이 블로그는 nginx 상에서 운영되고 있다. 최근에 Content Security Policy(이하 CSP) 관련 내용을 접하고 실제 서버 설정에 적용해서 운영해보고 있다. 처음 설정 때는 이미지, JS 파일 등이 차단되어 브라우저 개발자도구에서 무수한 오류가 떠서 놀라기도 했는데 차근차근 도메인을 추가하고 설정을 변경하다 보니 아직까지는 문제없이 적용되어 작동이 되는 것 같다. CSP 관련 룰을 적용하고 https://observatory.mozilla.org/ 에서 테스트 해본 결과는 아래 이미지와 같다. 처음엔 F 등급이었던 것에 비하면 많이 나아진 것이다.

B 등급 이상을 받기 위해 설정을 더 변경해야겠지만 그러기엔 너무 일이 많을 것 같고 더구나 영어 울렁증에 문서를 보는 것도 쉽지 않기 때문에 이 정도에서 마무리했다. 아래는 적용하여 사용 중인 CSP 룰 설정이다.

설정에서 제일 힘들 것이 img-src 등의 도메인 등을 하나씩 확인하고 추가하는 것이었다. 외부에서 컨텐츠를 가져오는 경우가 많기 때문이다. 워드프레스에 다른 플러그인을 추가해서 사용하게 되면 경우에 따라서는 설정을 추가 변경해야 하는 경우도 생길 수 있다.

참고 : https://content-security-policy.com/

편리

PHP와 MariaDB, jQuery 등을 사용해 게시판, 쇼핑몰 솔루션을 개발합니다. 그누보드5와 영카트5 개발에 참여 했습니다. Linux와 Nginx는 물론 WordPress, Git 등에도 관심이 많습니다. 자전거 타기 및 사진 촬영을 취미로 하고 있습니다.

Leave a Reply

Your email address will not be published. Required fields are marked *