콘텐츠 보안 정책 헤더는 웹 사이트의 보안을 강화하는 좋은 방법 인 것 같습니다. 그러나 우리는이 헤더를 사용하는 큰 웹 사이트를 찾으려고 시도했지만 다른 많은 보안 관련 헤더와 달리 하나도 찾지 못했습니다. 그 이상하고 나는이 헤더로 인해 발생할 수있는 문제 (캐싱, 버그 등)가 있는지 알고 싶습니다.Content-Security-Policy Header를 사용해도 안전합니까?
예, CSP는 안전하지만 혼자만 의지 할 수는 없습니다.
CSP는 브라우저를 지원하는 브라우저를 사용하는 사이트 방문자에게 XSS 공격을 매우 어렵게 만듭니다 (불가능하지는 않지만).
많은 브라우저가 IE11을 지원하지 않으므로 위험을 제한하기 위해 표시된 모든 사용자 입력을 엄격하게 관리해야합니다.
기존 응용 프로그램에서 CSP를 구현하면 인라인 CSS와 자바 스크립트를 사용하지 못하게하는 모든 이점을 얻으려면 매우 고통 스러울 수 있습니다. 이것은 차례로 많은 라이브러리와 프레임 워크를 깨뜨린다 - 예를 들어 Modernizer breaks with CSP on.
이러한 이유로 아직 널리 사용되지 않습니다.
[Twitter는 CSP를 사용합니다.] (https://blog.twitter.com/2011/improving-browser-security-csp) – Gumbo
예, CSP를 사용해도 안전합니다. CSP 인식 브라우저가 정책을 시행합니다. 인식 할 수없는 브라우저는 자동으로 무시합니다. 인식 브라우저에는 Chrome 버전 25 이상 및 Firefox 버전 23이 포함됩니다. OWASP에는 [콘텐츠 보안 정책] (https://www.owasp.org/index.php/Content_Security_Policy) 전용 페이지가 있습니다. – jww
CSP에서 진정한 이점을 얻으려면 eval을 사용하는 코드, HTML 속성 내부의 스크립트 등을 금지해야합니다. 이러한 안전하지 않은 구조가 널리 사용되므로 CSP의 보안 이점을 얻기 위해 많은 웹 응용 프로그램을 다시 작성해야합니다. 이렇게하면 시간과 돈이 들게되므로 대부분의 회사는 값싼 방법을 사용하고 아무도 버그를 발견하지 않기를 바랍니다. 그리고 물론, IE가 전체 CSP를 지원하지 않는 한, 보안 이점은 충분히 크지 않을 수도 있습니다. ( –