-1
예를 들어 외부 JS 파일을 삽입 한 사람이 어떻게 작동하는지 이해할 수 있지만 스크립트 태그에서 바로 똑바로 스크립트하는 것은 어떨까요? 다른 출처에서 왔는지 알 수 없습니다.HTML의 콘텐츠 보안 정책은 인라인 스크립팅 공격으로부터 보호합니까?
A
답변
1
CSP는 기본적으로이 문제를 방지합니다. 당신이 말했듯이, CSP에 대한 그러한 내용의 진정한 기원을 밝히기는 어렵습니다. 기본적으로 onclick = ""속성과 같은 것을 포함하여 인라인 스크립트를 금지함으로써이를 해결합니다. 인라인 스크립트를 사용하는 방법은 두 가지뿐입니다. 'unsafe-inline'을 지정하면 보호 기능을 사용할 수 없게됩니다. 또는 nonce 또는 hash을 지정하여 특정 인라인 스크립트를 허용 할 수 있습니다.
이 글을 쓰는 시점 (2015 년 8 월)에 모든 브라우저가 화이트리스트 인라인 스크립트의 nonce 및 hash 메소드를 지원하지는 않으므로 CSP 레벨 2가 준비되지 않은 브라우저에서 바람직하지 않은 동작이 발생할 수 있습니다.
+0
놀란 누군가가 실제로 이것을 대답했습니다. 내가 게시 할 때 필자는 인라인 스크립트에 화이트리스트가 존재하지 않는다고 확신합니다. 알아 둘만한. – thelittlegumnut
아마도 여기를 검색하는 것이 좋습니다. http://security.stackexchange.com – GoBusto