웹 보안에서 Content-Security-Policy(CSP)의 script-src 'nonce-xxx' 방식의 동작은?

Q: 웹 보안에서 Content-Security-Policy(CSP)의 script-src 'nonce-xxx' 방식의 동작은?

서버가 생성한 일회용 난수(nonce)와 일치하는 스크립트만 실행을 허용한다 서버가 매 요청마다 고유한 nonce를 생성하여 CSP 헤더(script-src 'nonce-abc123')와 에 동일한 값을 설정합니다. nonce가 일치하는 스크립트만 실행되므로, 공격자가 주입한 스크립트는 nonce를 모르기 때문에 실행되지 않아 XSS를 효과적으로 방어합니다.

어려움 MDN Web Docs

보기 및 정답

A 서버가 생성한 일회용 난수(nonce)와 일치하는 스크립트만 실행을 허용한다

B 모든 외부 CDN에서 로드되는 서드파티 스크립트의 실행을 자동으로 탐지하여 차단한다

C 스크립트 파일의 이름을 SHA-256 해시값으로 자동 암호화한다

D 스크립트의 실행 순서를 매 페이지 로드마다 랜덤으로 변경한다

해설

서버가 매 요청마다 고유한 nonce를 생성하여 CSP 헤더(script-src 'nonce-abc123')와 <script nonce="abc123">에 동일한 값을 설정합니다. nonce가 일치하는 스크립트만 실행되므로, 공격자가 주입한 스크립트는 nonce를 모르기 때문에 실행되지 않아 XSS를 효과적으로 방어합니다.

코딩, 제대로 배우고 싶다면?

개념 확인은 퀴즈로, 실력은 실전 프로젝트로.
투더제이 코딩클래스에서 시작하세요.

정규반 살펴보기

로그인

추가 정보 입력

회원가입

비밀번호 찾기

웹 보안에서 Content-Security-Policy(CSP)의 script-src 'nonce-xxx' 방식의 동작은?

해설

코딩, 제대로 배우고 싶다면?

관련 문제

모두를 위한 진짜 쎈 바이브코딩