Content Security Policy 실전 구현 가이드

CSP는 XSS를 막는 가장 강력한 브라우저 보안 도구 중 하나입니다. 핵심은 허용할 리소스를 명확히 선언하고 나머지는 차단하는 것입니다.

핵심 지시어

• default-src는 기본 차단 정책을 만듭니다
• script-src와 style-src가 가장 중요합니다
• connect-src와 frame-ancestors도 자주 필요합니다

도입 방법

기존 사이트에는 Report-Only로 먼저 넣어 위반 보고를 수집한 뒤, nonce나 hash를 적용해 강제 모드로 옮기세요. 'unsafe-inline'은 가능한 한 피해야 합니다.

현대적 보강

strict-dynamic, Trusted Types, upgrade-insecure-requests를 조합하면 실전 방어력이 높아집니다. CSP Builder로 정책을 구성하면 실수를 줄일 수 있습니다.