Link, Script 태그 integrity 옵션으로 보안 강화하기
페이지 정보
작성자 운영자쪽지보내기 메일보내기 자기소개 아이디로 검색 전체게시물 댓글 0건 조회 3,642회 작성일 21-06-16 13:22본문
<link> 태그나 <script> 태그에서 integrity라는 옵션 이용가능하다.
이 옵션이 있는 이유는 해당 리소스를 이용할 사이트 관리자가 수정사항을 검토할 수 있도록 설계되었다.
설정값과 변동사항이 있다면 로드되지않는다.
기존 값과 다른경우 로드 차단
integrity 사용 예시
특정 버전의 파일이 변경되거나 변조된 경우 막을 수 있다.
이를 이용해 악의적인 스크립트 변조를 막을수도 있다.
지원하는 해시는 sha256 sha384 sha512이며
이 옵션은 IE는 적용되지 않습니다.
요즘 많은 웹사이트에서 CDN을 사용하나, 만약 CDN보안이 뚫리거나 CDN내용을 변조한다면(게시자의 코드수정 포함),
CDN을 사용하는 모든 웹사이트에 아래 예시와 같은 공격을 할 수 있을겁니다.
(예) CDN의 JS내용을 변조하여 접속한 사이트의 정보를 탈취(XSS방지가 대부분되어있으므로 최신 브라우저에서는 안됨) 또는 악성 스크립트 실행(크립토재킹, 악성사이트로 리다이렉트, 피싱사이트로 리다이렉트 등)
CDN이 뚫릴일은 희박하지만 보안은 가능성이 0%가 아닌 모든것을 막아야되므로 주의할수록 좋습니다.
지원 브라우저는 IE를 제외한 대부분의 브라우저입니다.
https://caniuse.com/#feat=subresource-integrity
SRI 해시 생성기
관련 설명 글
https://developer.mozilla.org/en-US/docs/Web/Security/Subresource_Integrity
댓글목록
등록된 댓글이 없습니다.