CSP 빌더 / 체커
Content-Security-Policy를 붙여넣으면 위험한 디렉티브(unsafe-inline, 와일드카드 등)를 즉시 표시하고 더 엄격한 시작 정책을 제공합니다. 모든 처리는 브라우저 안에서 이루어집니다.
모든 처리는 브라우저 안에서 이뤄집니다. 입력한 내용은 서버로 전송되지 않습니다.
위에 CSP를 붙여넣으면 진단 결과가 표시됩니다.
엄격한 시작 정책
이를 기준으로 삼아, 사이트에 실제로 필요한 출처만 추가하세요.
default-src 'self'; object-src 'none'; base-uri 'self'; frame-ancestors 'none'; script-src 'self'; style-src 'self'; img-src 'self' data:; font-src 'self'; connect-src 'self'; form-action 'self'; upgrade-insecure-requests
사용 방법
- 1
사이트의 응답 헤더에서 Content-Security-Policy 값을 복사해 위에 붙여넣습니다.
- 2
각 디렉티브가 파싱되고 위험한 값이 심각도와 함께 나열됩니다.
- 3
아래의 엄격한 정책을 기준으로, 사이트에 실제로 필요한 출처만 추가합니다.
왜 중요한가
CSP는 XSS의 피해를 줄이는 핵심 방어 계층입니다. 다만 unsafe-inline이나 *를 허용하면 그 효과의 대부분이 사라집니다. 기본 원칙은 엄격한 default-src 'self'에서 시작해 필요한 최소한의 출처만 추가하는 것입니다.
자주 묻는 질문
Q붙여넣은 정책이 어딘가로 전송되나요?
A
아니요. 모든 파싱은 브라우저 안(JavaScript)에서 이루어지며, 입력은 서버로 전송되지 않습니다.
Qunsafe-inline은 왜 위험한가요?
A
인라인 스크립트/스타일을 허용하면 XSS로 주입된 코드도 실행될 수 있어 CSP의 방어 효과가 크게 약해집니다. 대신 nonce나 hash 방식으로 전환하세요.