콘텐츠 보안 정책

1. 개요

콘텐츠 보안 정책(CSP)은 웹 사이트에서 발생하는 크로스 사이트 스크립팅(XSS) 공격과 데이터 주입 공격을 완화하기 위한 웹 브라우저 보안 기능이다. 2004년 처음 제안되어 파이어폭스 4에 처음 구현되었으며, W3C에서 CSP 버전 1과 2를 발표했고 현재 레벨 3 초안이 개발 중이다. CSP는 웹 서버 응답 헤더에 `Content-Security-Policy`를 포함시켜 선언적 허용 목록 정책을 적용하며, 인라인 JavaScript, CSS, 동적 코드 평가 등을 기본적으로 비활성화한다. 브라우저는 정책 위반 시 보고서를 전송하며, 알려진 우회 방법과 보완적인 보안 조치들이 존재한다. 초기 CSP는 브라우저 확장 기능의 작동을 방해하지 않았으나, CSP 1.1부터는 정책 시행을 수정하거나 우회할 수 있도록 변경되었다.

더 읽어볼만한 페이지

• 컴퓨터 보안 표준 - ISO/IEC 27002
  ISO/IEC 27002는 조직이 정보 보안을 효과적으로 관리하도록 지침을 제공하는 정보 보안 표준으로, 정보 보안 정책, 조직 구조, 물리적 보안 등 다양한 영역을 다룬다.
• 컴퓨터 보안 표준 - IEEE 802.10
• 웹 취약점 공격 - 보안 취약점
  보안 취약점은 시스템의 설계, 구현, 운영, 관리상 결함이나 약점으로, 위협에 의해 악용되어 시스템 보안 정책을 위반할 수 있는 요소이며, ISO 27005, IETF RFC 4949, NIST SP 800-30, ENISA 등 다양한 기관에서 정의하고 있다.
• 웹 취약점 공격 - 인터넷 보안
  인터넷 보안은 사이버 위협, 악성 소프트웨어, 서비스 거부 공격 등으로부터 정보와 시스템을 보호하기 위해 네트워크 계층 보안, 다단계 인증, 방화벽 등 다양한 기술과 방법을 포괄한다.
• 웹 애플리케이션 - 구글 포토
  구글 포토는 사진 및 동영상 저장, 공유, 관리 기능을 제공하는 구글의 클라우드 기반 서비스로, 자동 분류, 얼굴 인식, 검색 기능을 제공하지만 2021년부터 무료 무제한 저장 용량 제공 정책이 변경되었고, 2024년에는 기술의 군사적 이용에 대한 윤리적 논란이 있었다.
• 웹 애플리케이션 - 전자 상거래
  전자상거래는 컴퓨터 네트워크를 이용하여 상품이나 서비스를 사고파는 행위로, 웹, 이메일 등 다양한 전자적 매체를 통해 이루어지며, 소비자에게 편리함을, 기업에게는 시장 확장 기회를 제공하는 경제 활동이다.