logo
GeekFormat

CSP 빌더

정책 템플릿

템플릿을 선택한 다음 비즈니스 요구 사항에 따라 지시문을 미세 조정하세요.

지시문 편집기

지시문을 줄별로 편집합니다. 추가, 삭제, 빠른 소스 삽입을 지원합니다.

출력 결과

Content-Security-Policy
HTTP 헤더
Content-Security-Policy: default-src 'self'; script-src 'self' https:; style-src 'self' 'unsafe-inline' https:; img-src 'self' data: https:; connect-src 'self' https:; frame-ancestors 'self'
HTML Meta
<meta http-equiv="Content-Security-Policy" content="default-src 'self'; script-src 'self' https:; style-src 'self' 'unsafe-inline' https:; img-src 'self' data: https:; connect-src 'self' https:; frame-ancestors 'self'">

위험 경고

'unsafe-inline'이 포함되어 있어 XSS 보호가 감소합니다.
object-src 'none'을 명시적으로 설정할 것을 권장합니다.

CSP를 온라인에서 생성하여 출처 규칙을 먼저 명확히 설정하세요.

관련 추천

사용 사례

  • 사이트 배포 전 실행 가능한 CSP를 먼저 생성하여 스크립트 인젝션 및 서드파티 리소스 통제 위험 감소
  • 관리 페이지에서 frame-ancestors를 'none'으로 설정하여 피싱 사이트에 페이지 임베딩 방지
  • 개발 환경에서 개발 사전 설정 템플릿으로 http:, ws:, 'unsafe-inline', 'unsafe-eval' 허용으로 전환
  • Nginx, Cloudflare 또는 백엔드 서비스에 직접 배포 가능한 CSP 응답 헤더 및 meta 태그 생성

주요 기능

  • 출처 규칙을 리소스 유형별로 분리 설정: 스크립트, 스타일, 이미지, API 주소 혼동 방지
  • 배포 전 안심: 기본 CSP를 먼저 보완한 후 점진적으로 정책 강화
  • 화이트리스트 함정 회피: 출처 누락, 세미콜론 누락 및 규칙 충돌 등 빈번한 오류 감소
  • 생성 후 바로 배포: 서버, CDN 또는 보안 게이트웨이에 복사하여 직접 사용 가능

이용 방법

  1. 사전 설정 템플릿(엄격한 프로덕션 환경, 균형 추천 또는 개발 로컬) 선택 또는 수동으로 지시행 추가
  2. 각 지시문의 출처 값 편집, 빠른 출처 버튼으로 'self', https: 등 마크 원클릭 추가
  3. Report-Only 모드 활성화 여부 전환, 자동 생성된 HTTP 응답 헤더 및 HTML meta 태그 확인
  4. 위험 경고 목록을 검사하고 CSP 내용을 복사하여 서버 설정 또는 페이지 head 태그에 사용

자주 묻는 질문

CSP는 주로 어떤 문제를 해결하나요?

CSP는 페이지가 로드할 수 있는 스크립트, 스타일, 이미지, API 및 iframe 출처를 제한하여 프론트엔드 보안 기준선에서 매우 중요한 레이어입니다.

CSP 설정 시 가장 흔한 오류는 무엇인가요?

일반적인 문제로는 화이트리스트 오류, CDN 도메인 누락, 인라인 스크립트 또는 스타일 오차단, 테스트 환경과 프로덕션 환경 출처 불일치가 있습니다. 생성기가 규칙 구성을 더 빠르게 도와줍니다.

Nginx, Cloudflare 또는 백엔드 응답 헤더 설정에 적합한가요?

네. 생성된 CSP 내용은 Nginx, Apache, Node.js, Java, Cloudflare 또는 기타 보안 응답 헤더 설정에 직접 복사할 수 있습니다.

이 도구가 웹사이트 배포 전 보안 설정에 적합한가요?

매우 적합합니다. 개발과 운영이 배포 전 기본 CSP 규칙을 빠르게 생성하여 수작업 정책 시 누락 및 형식 오류를 줄이는 데 도움을 줍니다.