CSP 정책 설정

웹사이트에 적용할 Content Security Policy 규칙을 설정하세요

default-src 필수

모든 리소스의 기본 로드 정책을 설정합니다. 다른 정책이 없을 때 적용되는 fallback 규칙입니다.

script-src 중요

JavaScript 실행을 제어합니다. XSS 공격 방지의 핵심 정책입니다.

'unsafe-inline'과 'unsafe-eval'은 보안상 위험할 수 있습니다.

style-src 선택

CSS 스타일시트 로드를 제어합니다.

img-src 선택

이미지 리소스 로드를 제어합니다.

connect-src 선택

AJAX, WebSocket, EventSource 등의 네트워크 연결을 제어합니다.

font-src 선택

웹 폰트 로드를 제어합니다.

frame-src 선택

iframe 및 프레임 로드를 제어합니다.

object-src 권장

플러그인 (Flash, Java 애플릿 등) 로드를 제어합니다. 보안상 'none' 권장.

생성된 CSP 정책

생성된 CSP 정책을 다양한 형식으로 확인하고 복사하세요

HTTP 헤더 방식

서버에서 HTTP 응답 헤더로 설정하는 방식입니다. 가장 권장되는 방법입니다.

HTML Meta 태그 방식

HTML 문서의 <head> 섹션에 추가합니다. 서버 설정이 불가능할 때 사용합니다.

Nginx 설정

Nginx 서버 설정 파일에 추가합니다.

Apache 설정

.htaccess 파일이나 Apache 설정 파일에 추가합니다.

CSP 설정 가이드

Content Security Policy의 핵심 개념과 효과적인 활용 방법을 알아보세요

CSP란?

Content Security Policy는 웹사이트에서 실행되는 리소스의 출처를 제한하여 XSS 공격을 방지하는 보안 메커니즘입니다.

보안 효과

악성 스크립트 실행 차단, 데이터 도용 방지, 클릭재킹 공격 방어 등 다양한 웹 보안 위협으로부터 사이트를 보호합니다.

단계별 적용

처음에는 Report-Only 모드로 테스트한 후, 문제없음을 확인하고 실제 정책을 적용하는 것을 권장합니다.

성능 향상

불필요한 외부 리소스 로드를 차단하여 페이지 로딩 속도 향상과 대역폭 절약 효과도 얻을 수 있습니다.

보안 레벨별 템플릿

사이트 유형에 맞는 보안 레벨을 선택하여 빠르게 CSP 정책을 설정하세요

🔒 기본 보안

Level 1

일반적인 웹사이트에 적합한 기본 보안 설정입니다.

🛡️ 강화 보안

Level 2

비즈니스 사이트나 중요한 데이터를 다루는 사이트에 권장됩니다.

🔐 최고 보안

Level 3

금융, 의료 등 최고 수준의 보안이 필요한 사이트용입니다.

자주 묻는 질문

처음 적용 시 일부 기능이 차단될 수 있습니다. Report-Only 모드로 먼저 테스트하여 문제를 파악한 후 정책을 조정하세요.

가능한 피하는 것이 좋습니다. 대신 nonce나 hash를 사용하여 특정 인라인 스크립트만 허용하는 방법을 권장합니다.

사용하는 CDN의 도메인을 각 정책에 추가해야 합니다. 예: script-src 'self' https://cdn.jsdelivr.net

브라우저 개발자 도구의 Console 탭에서 CSP 위반 로그를 확인할 수 있습니다. report-uri나 report-to를 설정하면 서버로 전송받을 수도 있습니다.

🛡️ CSP 생성기