동일-출처 정책

1. 개요

동일-출처 정책(Same-origin policy)은 웹 브라우저의 보안 모델로, 웹 페이지가 다른 출처의 리소스에 접근하는 것을 제한하여 데이터 오염 및 무단 접근을 방지한다. 1995년 넷스케이프 내비게이터에 처음 구현되었으며, 웹 개발의 보안을 강화하는 데 중요한 역할을 한다. 출처는 scheme, host, port의 삼중항으로 결정되며, 웹 페이지 간의 상호 작용을 제어한다. `document.domain` 속성을 사용하거나, 교차 출처 리소스 공유(CORS), `postMessage()` 메서드, JSONP, 웹소켓 등을 통해 동일-출처 정책을 완화하거나 우회할 수 있다. 이 정책은 CSRF 공격, 쿠키를 통한 정보 유출 등의 보안 문제와 관련이 있으며, WebRTC, 교차 출처 포트 스캔, XSS 공격 등 다양한 공격으로부터 웹 애플리케이션을 보호하기 위한 보안 대책이 필요하다.

더 읽어볼만한 페이지

• 컴퓨터 보안 표준 - ISO/IEC 27002
  ISO/IEC 27002는 조직이 정보 보안을 효과적으로 관리하도록 지침을 제공하는 정보 보안 표준으로, 정보 보안 정책, 조직 구조, 물리적 보안 등 다양한 영역을 다룬다.
• 컴퓨터 보안 표준 - 콘텐츠 보안 정책
  콘텐츠 보안 정책(CSP)은 웹 사이트의 XSS 공격과 데이터 주입 공격을 완화하기 위해 웹 서버 응답 헤더에 선언적 허용 목록 정책을 적용하여 인라인 JavaScript, CSS, 동적 코드 평가 등을 비활성화하는 웹 브라우저 보안 기능이다.
• 컴퓨터 보안 절차 - 사이버 전쟁
  사이버 전쟁은 국가나 비국가 행위자가 사이버 공간에서 국가 안보를 위협하거나 정책을 수행하기 위해 컴퓨터 네트워크를 이용해 공격과 방어를 하는 행위이다.
• 컴퓨터 보안 절차 - 컴퓨터 포렌식
  컴퓨터 포렌식은 디지털 증거를 수집, 분석하여 법적 증거로 제시하는 과학 수사 기법으로, 사이버 범죄 수사, 민사 소송, 기업 감사 등 다양한 분야에서 활용되며 자동화, 인공지능, 머신러닝과 같은 첨단 기술을 통합하는 방향으로 발전하고 있다.
• 웹 애플리케이션 - 구글 포토
  구글 포토는 사진 및 동영상 저장, 공유, 관리 기능을 제공하는 구글의 클라우드 기반 서비스로, 자동 분류, 얼굴 인식, 검색 기능을 제공하지만 2021년부터 무료 무제한 저장 용량 제공 정책이 변경되었고, 2024년에는 기술의 군사적 이용에 대한 윤리적 논란이 있었다.
• 웹 애플리케이션 - 전자 상거래
  전자상거래는 컴퓨터 네트워크를 이용하여 상품이나 서비스를 사고파는 행위로, 웹, 이메일 등 다양한 전자적 매체를 통해 이루어지며, 소비자에게 편리함을, 기업에게는 시장 확장 기회를 제공하는 경제 활동이다.