웹 보안에서 CSP(Content Security Policy)의 default-src 'self' 지시어가 의미하는 것은?

Q: 웹 보안에서 CSP(Content Security Policy)의 default-src 'self' 지시어가 의미하는 것은?

모든 리소스(스크립트, 이미지, 폰트 등)의 로딩을 같은 출처(same origin)에서만 허용한다 CSP의 default-src는 다른 지시어(script-src, img-src 등)가 명시되지 않았을 때 적용되는 기본 정책입니다. 'self'는 현재 문서와 같은 출처의 리소스만 허용합니다. 이를 통해 XSS 공격에서 외부 악성 스크립트의 로딩을 원천 차단할 수 있습니다.

쉬움 MDN Web Docs

보기 및 정답

A 모든 리소스(스크립트, 이미지, 폰트 등)의 로딩을 같은 출처(same origin)에서만 허용한다

B 기본 CSS 스타일시트만 적용하고 외부에서 로드되는 스타일시트를 모두 차단하는 설정이다

C 쿠키를 같은 사이트 내에서만 전송하도록 제한하여 교차 사이트 쿠키 전송을 차단하는 설정이다

D HTTPS 프로토콜을 사용하는 연결만 허용하고 HTTP 요청은 자동으로 차단하여 보안을 강화하는 설정이다

해설

CSP의 default-src는 다른 지시어(script-src, img-src 등)가 명시되지 않았을 때 적용되는 기본 정책입니다. 'self'는 현재 문서와 같은 출처의 리소스만 허용합니다. 이를 통해 XSS 공격에서 외부 악성 스크립트의 로딩을 원천 차단할 수 있습니다.

코딩, 제대로 배우고 싶다면?

개념 확인은 퀴즈로, 실력은 실전 프로젝트로.
투더제이 코딩클래스에서 시작하세요.

정규반 살펴보기

로그인

추가 정보 입력

회원가입

비밀번호 찾기

웹 보안에서 CSP(Content Security Policy)의 default-src 'self' 지시어가 의미하는 것은?

해설

코딩, 제대로 배우고 싶다면?

관련 문제

모두를 위한 진짜 쎈 바이브코딩