CSP(컨텐츠 보안 정책) 기능은 규격 브라우저에 정책 지시문을 제공하여 XSS(사이트 간 스크립팅) 같은 다양한 클래스의 컨텐츠 주입 취약성을 완화합니다. 이 기능은 기본적으로 사용하도록 설정됩니다. locked.properties에 항목을 추가하여 정책 지시문을 재구성할 수 있습니다.

표 1. CSP 속성

속성

값 유형

마스터 기본값

기타 기본값

enableCSP

true

false

true

n/a

content-security-policy

directives-list

default-src 'self';script-src 'self' 'unsafe-inline' 'unsafe-eval' data:;style-src 'self' 'unsafe-inline';font-src 'self' data:

portal=child-src 'self' blob:;default-src 'self';connect-src 'self' wss:;font-src 'self' data:;img-src 'self' data: blob:;media-src 'self' blob:;object-src 'self' blob:;script-src 'self' 'unsafe-inline' 'unsafe-eval' data:;style-src 'self' 'unsafe-inline';frame-ancestors 'self'

x-frame-options

OFF

specification

deny

portal=sameorigin

x-content-type-options

OFF

specification

nosniff

n/a

x-xss-protection

OFF

specification

1; mode=block

n/a

CSP 속성을 locked.properties 파일에 추가할 수 있습니다. CSP 속성 예:

enableCSP = true
content-security-policy = default-src 'self';script-src 'self' data:
content-security-policy-portal = default-src 'self';frame-ancestors 'self'
x-frame-options = deny
x-frame-options-portal = sameorigin
x-xss-protection = 1; mode=block