CSP 설정할 때 예외로 빼야(접속 가능하도록) 하는 url 이 무엇인지 궁금합니다.
- 작성자 :
- 이*현
- 작성일 :
- 2021-05-11 15:13:31
- 조회수 :
- 3,853
- 구분 :
- 기타
- 진행상태 :
- 완료
Q
안녕하세요?
먼저 노고에 감사드립니다.
모바일 쪽에서 전자정부 프레임워크를 사용하고 있습니다.
최근에 CSP 설정을 하라고 보안쪽에서 요청이 들어와서 설을 하려고 하는데요...
default-src 'unsafe-inline' 설정을 하고 예외 사이트(접속 가능 주소)를 설정해야 하는데요...
전자정부 프레임 워크쪽에서 사용하는 url 중에서 어떤 것들을 예외로 넣어야 할까요?
WAS쪽에서 통신하면서 하는 것들은 상관 없을것 같고요
클라이언트(사용자;브라우저) 단에서 어딘가에 접속해서 데이터를 받아오는 게 있을까요?
찾아보니 이런 것들이 있는데요(제가 구조를 잘 몰라서요... 죄송합니다. ^^;;)
context-aspect.xml 파일 안에
<beans xmlns="http://www.springframwork.org .... http://www.w3.org ... >
sql-map-config.xml 파일
<!DOCTYPE .... "http://www.ibatis.com/dtd/sql-map-config-2.dtd" >
sql-mapper-config.xml
<!DOCTYPE .... "http://mybatis.org ... >
lucy-xss-servlet-filter-rule.xml
<config xmlns="www.navercorp.com/luh-xss-servlet">
그리고 jsp 파일 안에 태그라이브러리로 포함되는 것들
<%@ taglib ... uri="http://java.sun.com/jsp/jstl/core" %>
등등
이런 것들이 클라이언트(사용자)에서 이쪽 주소로 접속해서 동작하는게 있는지 알고 싶습니다.
내부적으로 어떻게 돌아가는지 몰라서 이런 질문을 드리네요
감사합니다.
먼저 노고에 감사드립니다.
모바일 쪽에서 전자정부 프레임워크를 사용하고 있습니다.
최근에 CSP 설정을 하라고 보안쪽에서 요청이 들어와서 설을 하려고 하는데요...
default-src 'unsafe-inline' 설정을 하고 예외 사이트(접속 가능 주소)를 설정해야 하는데요...
전자정부 프레임 워크쪽에서 사용하는 url 중에서 어떤 것들을 예외로 넣어야 할까요?
WAS쪽에서 통신하면서 하는 것들은 상관 없을것 같고요
클라이언트(사용자;브라우저) 단에서 어딘가에 접속해서 데이터를 받아오는 게 있을까요?
찾아보니 이런 것들이 있는데요(제가 구조를 잘 몰라서요... 죄송합니다. ^^;;)
context-aspect.xml 파일 안에
<beans xmlns="http://www.springframwork.org .... http://www.w3.org ... >
sql-map-config.xml 파일
<!DOCTYPE .... "http://www.ibatis.com/dtd/sql-map-config-2.dtd" >
sql-mapper-config.xml
<!DOCTYPE .... "http://mybatis.org ... >
lucy-xss-servlet-filter-rule.xml
<config xmlns="www.navercorp.com/luh-xss-servlet">
그리고 jsp 파일 안에 태그라이브러리로 포함되는 것들
<%@ taglib ... uri="http://java.sun.com/jsp/jstl/core" %>
등등
이런 것들이 클라이언트(사용자)에서 이쪽 주소로 접속해서 동작하는게 있는지 알고 싶습니다.
내부적으로 어떻게 돌아가는지 몰라서 이런 질문을 드리네요
감사합니다.
환경정보
-
- OS 정보 :
- 표준프레임워크 버전 :
- JDK(JRE) 정보 :
- WAS 정보 :
- DB 정보 :
- 기타 환경 정보 :
A
안녕하세요.
표준프레임워크센터 입니다.
XML에서 DTD 선언 URL의 경우
jar 파일을 우선하여 찾기 때문에
CSP 설정과는 무관 합니다.
CSP 설정을 위해서는
크롬브라우저의 개발자 도구에서
Network 목록을 보시면
대상 URL 검출이 가능하실듯 합니다.
검출된 URL에서 CSP설정할 대상을
확인하시면 될듯 합니다.
감사합니다.
표준프레임워크센터 입니다.
XML에서 DTD 선언 URL의 경우
jar 파일을 우선하여 찾기 때문에
CSP 설정과는 무관 합니다.
CSP 설정을 위해서는
크롬브라우저의 개발자 도구에서
Network 목록을 보시면
대상 URL 검출이 가능하실듯 합니다.
검출된 URL에서 CSP설정할 대상을
확인하시면 될듯 합니다.
감사합니다.