이 페이지는 영어로부터 커뮤니티에 의하여 번역되었습니다. MDN Web Docs에서 한국 커뮤니티에 가입하여 자세히 알아보세요.

CSP: script-src

Baseline Widely available *

This feature is well established and works across many devices and browser versions. It’s been available across browsers since August 2016.

* Some parts of this feature may have varying levels of support.

HTTP Content-Security-Policy (CSP) script-src 는 JavaScript에 대한 검증된 출처를 지정합니다. 여기에는

인라인 스크립트도 실행되지 않습니다:

html

addEventListener를 호출하는 것으로 대체해야 합니다.:

document.getElementById("btn").addEventListener("click", doSomething);

안전하지 않은 eval 표현식

'unsafe-eval' 출처 표현식은 문자열에서 코드를 생성하는 여러 스크립트 실행 메소드를 제어합니다. 만약'unsafe-eval' 이 script-src 에 정의되어 있지 않으면, 아래믜 명령어는 차단되며 아무런 효과가 일어나지 않습니다.

eval()
Function()
아래와 같이 문자열 리터럴을 전달할 때 : window.setTimeout("alert(\"Hello World!\");", 500);
window.execScript 비표준 (IE < 11 only)

The 'strict-dynamic' source expression specifies that the trust explicitly given to a script present in the markup, by accompanying it with a nonce or a hash, shall be propagated to all the scripts loaded by that root script. At the same time, any whitelist or source expressions such as 'self' or 'unsafe-inline' will be ignored. For example, a policy such as script-src 'strict-dynamic' 'nonce-R4nd0m' https://whitelisted.com/ would allow loading of a root script with \n\n

인라인 스크립트도 실행되지 않습니다:\n

html\n\naddEventListener를 호출하는 것으로 대체해야 합니다.:\n
jsdocument.getElementById(\"btn\").addEventListener(\"click\", doSomething);\n"}},{"type":"prose","value":{"id":"안전하지_않은_인라인_스크립트","title":"안전하지 않은 인라인 스크립트","isH3":true,"content":"\n참고 :\n인라인 스타일 및 인라인 스크립트를 허용하지 않는 것이 CSP가 제공하는 가장 큰 보안 이점 중 하나 입니다. 그러나, 인라인 스크립트 및 스타일을 사용해야만 한다면 몇가지 방법을 제공합니다.\n\n
인라인 스크립트 및 인라인 이벤트 핸들러를 허용하려면, 'unsafe-inline', 인라인 태그에 정의한 값과 동일한 nonce-source 또는 hash-source를 지정할 수 있습니다.\nbashContent-Security-Policy: script-src 'unsafe-inline';\n\n위의 CSP는 \n\n
nonce-source를 사용하면 특정 인라인 스크립트 태그만 허용 할 수 있습니다:\n
bashContent-Security-Policy: script-src 'nonce-2726c7f26c'\n\n\n\n
또는, 인라인 스크립트에서 해시를 설정할 수 도 있습니다. CSP는 sha256, sha384 and sha512를 지원합니다.\n
bashContent-Security-Policy: script-src 'sha256-B2yPHKaXnvFWtRChIbabYmUBFZdVfKKXHbWtWidDVF8='\n\n해시를 생성할 때에는 \n"}},{"type":"prose","value":{"id":"안전하지_않은_eval_표현식","title":"안전하지 않은 eval 표현식","isH3":true,"content":"
'unsafe-eval' 출처 표현식은 문자열에서 코드를 생성하는 여러 스크립트 실행 메소드를 제어합니다. 만약'unsafe-eval' 이 script-src 에 정의되어 있지 않으면, 아래믜 명령어는 차단되며 아무런 효과가 일어나지 않습니다.\n
\n\neval()\n\n
\nFunction()\n\n
\n아래와 같이 문자열 리터럴을 전달할 때 :\nwindow.setTimeout(\"alert(\\\"Hello World!\\\");\", 500);\n\nwindow.setTimeout\n
window.setInterval\n
window.setImmediate\n\n\n
\nwindow.execScript \n비표준\n (IE < 11 only)\n\n"}},{"type":"prose","value":{"id":"strict-dynamic","title":"strict-dynamic","isH3":true,"content":"
The 'strict-dynamic' source expression specifies that the trust explicitly given to a script present in the markup, by accompanying it with a nonce or a hash, shall be propagated to all the scripts loaded by that root script. At the same time, any whitelist or source expressions such as 'self' or 'unsafe-inline' will be ignored. For example, a policy such as script-src 'strict-dynamic' 'nonce-R4nd0m' https://whitelisted.com/ would allow loading of a root script with