응용 프로그램의 상태가 다음과 같은 경우 cross-frame scripting 취약점이 발생합니다.

1. iframe 내에서 포함되도록 되어 있는 경우
2. X-Frame-Options 헤더를 통해 프레이밍 정책을 지정하지 못하는 경우
3. JavaScript 기반 프레임 버스팅 로직 같은 열악한 보호 수준을 사용하는 경우

Cross-Frame Scripting 취약점은 공격자가 Cross-Site Request Forgery 공격이나 피싱 공격을 수행하는 데 사용할 수 있는 클릭재킹(Clickjacking) 익스플로이트의 토대 역할을 하는 경우가 많습니다.

HTML5는 개발자가 프로그램 값을 유지할 수 있도록 localStorage 및 sessionStorage 맵을 제공합니다. sessionStorage 맵은 페이지를 호출하기 위한 저장소를 제공하며 페이지 인스턴스 및 즉각적인 브라우저 세션 동안에만 지속됩니다. 그러나, localStorage 맵은 여러 페이지 인스턴스 및 브라우저 인스턴스에 대해 액세스할 수 있는 저장소를 제공합니다. 이 기능을 통해 응용 프로그램은 여러 브라우저 탭 또는 창에서 동일한 정보를 유지하고 활용할 수 있습니다.

예를 들어, 개발자는 사용자 원래의 검색 조건을 유지하는 동시에, 사용자가 여러 탭을 열어 숙박 시설을 비교할 수 있게 하는 여행 응용 프로그램에서 여러 브라우저 탭 또는 인스턴스를 활용하고자 할 수 있습니다. 기존의 HTTP 저장 시나리오에서 사용자는 한 탭에서 구매 및 의사 결정에 대한 위험이 있었으며(세션 또는 쿠키에 저장됨) 이 위험은 다른 탭에서의 구매를 방해했습니다.

여러 브라우저 탭에서 사용자 값을 활용할 수 있는 기능을 사용할 경우, 개발자는 sessionStorage 범위에서 localStorage 또는 그 반대로 민감한 정보를 이동시키지 않도록 주의해야 합니다.

예제 1: 다음 예제에서는 세션에 신용 카드 CCV 정보를 저장하여 구입 시 사이트에서 파일에 있는 카드로 요금을 청구하도록 사용자가 이미 허가했음을 나타냅니다. 브라우저 탭의 컨텍스트 내에서 구입할 때마다 신용 카드 승인이 필요합니다. CCV가 다시 입력되는 것을 방지하기 위해 정보가 sessionStorage 개체에 저장됩니다. 그러나 개발자도 localStorage 개체 내에 정보를 저장합니다.

...
try {
    sessionStorage.setItem("userCCV", currentCCV);
} catch (e) {
    if (e == QUOTA_EXCEEDED_ERR) {
        alert('Quota exceeded.');
    }
}

...
...

var retrieveObject = sessionStorage.getItem("userCCV");
try {
    localStorage.setItem("userCCV",retrieveObject);
} catch (e) {
    if (e == QUOTA_EXCEEDED_ERR) {
        alert('Quota exceeded.');
    }
    ...

    var userCCV = localStorage.getItem("userCCV");
    ...
}
...

CCV 정보를 localStorage 개체로 되돌려 놓으면, 이제 CCV 정보는 다른 브라우저 탭에서 이용할 수 있으며 브라우저의 새 호출 시에도 이용 가능합니다. 그러면 의도한 워크플로우에 대한 응용 프로그램 로직은 무시됩니다.

CSRF(Cross-Site Request Forgery) 취약점은 다음 경우에 발생합니다.
1. 웹 응용 프로그램이 세션 쿠키를 사용합니다.
2. 응용 프로그램이 해당 요청이 사용자의 동의로 이루어졌는지 확인하지 않고 HTTP 요청에 대해 작업합니다.

예제 1: 다음 예에서 웹 응용 프로그램을 통해 관리자는 새 계정을 만들 수 있습니다.

  RequestBuilder rb = new RequestBuilder(RequestBuilder.POST, "/new_user");
  body = addToPost(body, new_username);
  body = addToPost(body, new_passwd);
  rb.sendRequest(body, new NewAccountCallback(callback));

공격자는 다음과 같은 코드를 포함하는 악성 웹 사이트를 설정할 수도 있습니다.

  RequestBuilder rb = new RequestBuilder(RequestBuilder.POST, "http://www.example.com/new_user");
  body = addToPost(body, "attacker";
  body = addToPost(body, "haha");
  rb.sendRequest(body, new NewAccountCallback(callback));

예를 들어 example.com의 관리자가 사이트에서 세션을 활성화한 상태에서 악성 페이지를 방문하는 경우 무의식적으로 공격자를 위한 계정을 만들게 됩니다. 이것이 CSRF 공격입니다. 이 공격이 가능한 이유는 응용 프로그램에 해당 요청의 출처를 확인할 방법이 없기 때문입니다. 모든 요청은 사용자가 선택한 적법한 작업이거나 공격자가 설정한 허위 작업일 가능성이 있습니다. 공격자는 허위 요청이 생성하는 웹 페이지를 보지 못하므로 이 공격 기법은 응용 프로그램의 상태를 변경하는 요청의 경우에만 유용합니다.

하지만 세션 ID를 쿠키가 아닌 URL에서 전달하는 응용 프로그램은 공격자가 세션 ID에 액세스하여 허위 요청의 일부로 포함시킬 방법이 없으므로 CSRF 이슈가 발생하지 않습니다.

일부 프레임워크에는 응용 프로그램을 보호하기 위해 CSRF Nonce가 자동으로 포함됩니다. 이 기능을 비활성화하면 응용 프로그램이 위험에 노출될 수 있습니다.

예제 2: 이 Spring Security로 보호된 응용 프로그램은 CSRF 보호를 명시적으로 비활성화합니다.

	<http auto-config="true">
        ...
        <csrf disabled="true"/>
	</http>

사이트가 사용자에 대한 다운로드를 제공할 수 있어야 하는 경우 이를 여는 옵션은 브라우저에서 실행되는 모든 제공된 파일이 사이트와 동일한 보안 컨텍스트에서 현재 브라우저에서 열릴 수 있음을 의미합니다.
공격자가 다운로드되는 파일을 조작할 수 있는 경우 브라우저에서 Cross-Site Scripting 공격 역할로 실행되는 HTML 또는 스크립트를 삽입할 수 있어 현재 세션에서 정보를 훔치거나 조작할 수 있습니다.

예제 1: 다음 예제에서는 브라우저에서 실행되는 제공된 다운로드에 대한 보호를 명시적으로 비활성화합니다.

var express = require('express');
var app = express();
var helmet = require('helmet');

app.use(helmet({
    ieNoOpen: false
}));
...

Cross-Site WebSocket 하이재킹(hijacking)은 사용자가 속아서 악성 사이트를 방문할 때 이 사이트에서 합법적인 백엔드 서버와의 WebSocket 연결이 설정되면서 발생합니다. 서버에 WebSocket 프로토콜의 업그레이드를 요청할 때 사용되는 초기 HTTP 요청이 일반 HTTP 요청이기 때문에 브라우저가 세션 쿠키를 포함하여 대상 도메인에 바인딩된 모든 쿠키를 전송합니다. 서버가 Origin 헤더를 확인하지 못하면 모든 악성 사이트가 사용자를 가장하여 사용자 모르게 양방향 WebSocket 연결을 설정할 수 있게 됩니다.

응용 프로그램은 exclude 거부 목록을 사용합니다. 이는 관리하기가 어려울 뿐 아니라 오류에도 취약합니다. 개발자가 폼이나 폼을 백업하는 Model에 새 필드를 추가하는 상황에서 exclude 필터를 업데이트하는 것을 잊어버리는 경우 공격자에게 민감한 필드를 노출할 수도 있습니다. 공격자는 악의적인 데이터를 제외되지 않는 필드로 전송하고 바인딩할 수 있습니다.

예제 1: 다음 폼은 일부 User 속성을 노출하지만 사용자 id에 대한 거부 목록을 검사합니다.

from myapp.models import User
...
class UserForm(ModelForm):
  class Meta:
    model = User
    exclude = ['id']
...

User 모델은 새 role 속성으로 업데이트되었지만 연결된 UserForm은 업데이트되지 않은 경우 폼에서 role 속성이 노출됩니다.

File Based Cross Zone Scripting은 다음 조건이 충족될 때 발생합니다.

1. 스크립트가 응용 프로그램 내에서 실행되도록 허용할 수 있는 파일이 로드됩니다.

2. 로드되는 스크립트의 출처가 실행 중인 응용 프로그램과 동일합니다.

이 두 조건이 모두 충족될 경우 특히 상대방이 정보가 응용 프로그램의 경계 내에서 오는 것인지에 따라 신뢰 여부를 결정할 경우, 일련의 공격이 가능해질 수 있습니다.

예제 1: 다음 코드는 Android WebView를 사용하여 로컬에서 파일을 로드합니다.

...
myWebView.loadUrl("file:///android_asset/www/index.html");
...

Example 1에서 Android WebView 렌더러는 “file://”로 시작하는 URL을 사용하여 loadUrl()로 로드되는 모든 것을 출처가 동일한 것으로 취급합니다.

공격자가 파일에서 로드될 때 File Based Cross-Zone Scripting 취약점을 활용하는 몇 가지 일반적인 방법이 있습니다.
- 파일에 스크립트를 삽입할 수 있는 공격자가 로컬 파일을 조작할 수 있습니다.
이 방법은 파일 권한, 파일의 위치 또는 파일이 저장되었다 로드될 수 있는(수정 가능 시간이 있을 수 있음) 경쟁 조건(race condition)에 따라 달라집니다.

- 파일이 외부 리소스로 호출될 수 있습니다.
로드된 파일이 외부 리소스에서 스크립트를 검색할 때 이 상황이 발생할 수 있습니다.

예제 2: 다음 코드는 실행해야 하는 JavaScript를 결정하기 위해 외부 소스를 찾습니다.

  <script src="http://www.example.com/js/fancyWidget.js"></script>

Example 2에서는 결과 스크립트를 악의적 작업자가 수정하는 것이 가능한 안전하지 않은 프로토콜이 사용됩니다. 또는 컴퓨터를 공격자의 사이트로 경로 재지정하는 다른 공격이 수행될 수 있습니다.

- 로드된 파일에 Cross-Site Scripting 취약점이 포함될 수 있습니다.
로드되는 파일에 코드 삽입이 가능한 경우, 삽입된 코드는 응용 프로그램의 컨텍스트에서 실행될 수 있습니다. 꼭 JavaScript를 삽입하는 기능이 아니라 단순히 HTML을 삽입할 수만 있어도 변조(defacement) 또는 DOS(Denial of Service) 공격이 가능해질 수 있습니다.

기본적으로, 동일한 도메인에서 나오는 경우에만 두 개의 SWF 응용 프로그램이 서로의 데이터에 접근할 수 있는지 확인하는 동일 출처 정책(Same Origin Policy)이 Flash 응용 프로그램에 적용됩니다. Adobe Flash를 사용하면 개발자는 프로그래밍 방식으로 또는 crossdomain.xml 구성 파일의 적절한 설정을 통해 정책을 수정할 수 있습니다. 그러나, 지나치게 허용적인 도메인 간 정책을 사용하면 악성 응용 프로그램이 부적절한 방법으로 피해자 응용 프로그램과 통신하여 스푸핑, 데이터 도난, 릴레이 및 기타 공격으로 이어질 수 있기 때문에 설정 변경 시 주의해야 합니다.

예제 1: 발췌한 다음 내용은 응용 프로그램과 통신이 허용되는 도메인을 프로그래밍 방식으로 지정하는 와일드카드 사용 예입니다.

   flash.system.Security.allowDomain("*");

*를 allowDomain()에 대한 인수로 사용하는 것은 응용 프로그램의 데이터가 임의의 도메인에서 다른 SWF 응용 프로그램으로 접근할 수 있음을 나타냅니다.

기본적으로, 동일한 도메인에서 나오는 경우에만 두 개의 SWF 응용 프로그램이 서로의 데이터에 접근할 수 있는지 확인하는 동일 출처 정책(Same Origin Policy)이 Flash 응용 프로그램에 적용됩니다. Adobe Flash를 사용하면 개발자는 프로그래밍 방식으로 또는 crossdomain.xml 구성 파일의 적절한 설정을 통해 정책을 수정할 수 있습니다. Flash Player 9,0,124,0부터 Adobe는 Flash Player에서 여러 도메인에 걸쳐 보낼 수 있는 사용자 지정 헤더를 정의하는 기능도 도입했습니다. 그러나 지나치게 허용적인 도메인 간 정책과 함께 적용할 경우, 지나치게 허용적인 사용자 지정 헤더 정책은 선택된 헤더를 악성 응용 프로그램이 대상 응용 프로그램으로 전송할 수 있어, 수신한 헤더를 처리하지 못하는 응용 프로그램 실행 시 다양한 공격으로 이어지거나 오류가 발생할 수 있기 때문에 이러한 설정 정의 시 주의해야 합니다.

예제 1: 다음 구성은 Flash Player가 도메인 간에 전송할 수 있는 헤더를 지정하는 와일드카드 사용을 보여줍니다.

  <cross-domain-policy>
    <allow-http-request-headers-from domain="*" headers="*"/>
  </cross-domain-policy>

*를 headers 속성 값으로 사용하면 모든 헤더가 여러 도메인에 걸쳐 전송됨을 나타냅니다.

기본적으로, 동일한 도메인에서 나오는 경우에만 두 개의 SWF 응용 프로그램이 서로의 데이터에 접근할 수 있는지 확인하는 동일 출처 정책(Same Origin Policy)이 Flash 응용 프로그램에 적용됩니다. Adobe Flash를 사용하면 개발자는 프로그래밍 방식으로 또는 crossdomain.xml 구성 파일의 적절한 설정을 통해 정책을 수정할 수 있습니다. 그러나, 지나치게 허용적인 도메인 간 정책을 사용하면 악성 응용 프로그램이 부적절한 방법으로 피해자 응용 프로그램과 통신하여 스푸핑, 데이터 도난, 릴레이 및 기타 공격으로 이어질 수 있기 때문에 설정에 영향을 미칠 수 있는 사람을 결정할 때 주의해야 합니다. 정책 제한 무시 취약점은 다음과 같은 경우 발생합니다.

1. 신뢰할 수 없는 소스에서 데이터가 응용 프로그램에 입력됩니다.

2. 데이터는 도메인 간 정책 설정을 로드하거나 수정하는 데 사용됩니다.
예제 1: 다음 코드는 로드한 SWF 파일에 대한 매개 변수 중 하나의 값을 URL로 사용하여 그로부터 도메인 간 정책 파일을 로드합니다.

   ...
   var params:Object = LoaderInfo(this.root.loaderInfo).parameters;
   var url:String = String(params["url"]);
   flash.system.Security.loadPolicyFile(url);
   ...

예제 2: 다음 코드는 로드한 SWF 파일에 대한 매개변수 중 하나의 값을 사용하여 신뢰할 수 있는 도메인 목록을 정의합니다.

   ...
   var params:Object = LoaderInfo(this.root.loaderInfo).parameters;
   var domain:String = String(params["domain"]);
   flash.system.Security.allowDomain(domain);
   ...

Flash Player 7로 시작하면 HTTP를 통해 로드된 SWF 응용 프로그램은 기본적으로 HTTPS를 통해 로드된 SWF 응용 프로그램의 데이터에 접근할 수 없습니다. Adobe Flash를 사용하면 개발자는 프로그래밍 방식으로 또는 crossdomain.xml 구성 파일의 적절한 설정을 통해 이 제한을 수정할 수 있습니다. 그러나 HTTP로 로드한 SWF 응용 프로그램은 MITM(Man-In-The-Middle) 공격을 받을 수 있으므로 이러한 설정 정의 시 주의해야 하며, 따라서 신뢰하지 말아야 합니다.

예제 1: 다음 코드는 allowInsecureDomain()을 호출하여 HTTP로 로드된 SWF 응용 프로그램이 HTTPS로 로드된 SWF 응용 프로그램의 데이터에 접근하는 것을 막는 제한을 끕니다.

   flash.system.Security.allowInsecureDomain("*");

일반적인 개발 관행은 디버깅 또는 테스트 목적을 위해 애플리케이션과 함께 제공되거나 배포되지 않도록 특별히 설계된 "백도어" 코드를 추가하는 것입니다. 이러한 유형의 디버그 코드가 실수로 응용 프로그램에 남아 있게 되면 해당 응용 프로그램은 의도치 않은 상호 작용 모드로 열릴 수 있습니다. 이러한 백도어 진입점은 설계 또는 테스트 중에 고려되지 않았으며 애플리케이션의 예상 작동 조건을 벗어나기 때문에 보안 위험을 초래합니다.

GraphiQL은 GraphQL 스키마 확인 메커니즘을 사용하여 GraphQL API 개발 및 테스트를 위한 그래픽 인터페이스를 제공하는 브라우저 내 도구입니다. GraphiQL은 사용자가 GraphQL 스키마를 탐색하고 GraphQL 쿼리를 작성 및 실행할 수 있도록 지원합니다.

GraphiQL을 통해 GraphQL 스키마 확인을 활성화하면 전반적인 보안 태세에 위험을 초래할 수 있으므로 프로덕션 환경에서 GraphiQL에 대한 액세스를 허용하는 것은 권장되지 않습니다. 공격자는 GraphiQL 및 스키마 확인을 활용해 GraphQL 스키마에서 구현 세부 정보를 얻어 보다 표적화된 공격을 수행할 수 있습니다. GraphQL 스키마는 내부적으로 사용되는 필드, 설명, 공개 사용을 목적으로 하지 않을 수 있는 지원 중단 메모와 같은 정보를 누출할 수 있습니다.

예제 1: 다음 코드는 기본적으로 GraphiQL이 활성화된 상태로 GraphQL.js 끝점을 초기화합니다.

app.use('/graphql', graphqlHTTP({
    schema
}));

GraphQL 스키마 확인 기능을 사용하면 누구나 GraphQL 서버에서 현재 스키마에 대한 정보를 쿼리할 수 있습니다. 이해 당사자는 GraphQL 스키마 확인 쿼리를 실행하여 스키마의 사용 가능한 작업, 데이터 형식, 필드 및 문서에 대한 전체 보기를 검색할 수 있습니다.

GraphQL 스키마 확인은 GraphQL API에 대한 정보를 개발하고 공유하는 맥락에서 중요한 유틸리티를 제공합니다. 스키마 확인은 다양한 도구와의 원활한 통합을 촉진할 수 있는 강력한 GraphQL 기능입니다. 예를 들어 IDE는 스키마 확인을 활용하여 GraphQL API 개발 및 테스트를 위한 향상된 기능을 제공할 수 있습니다.

그러나 프로덕션 환경에서 누구나 GraphQL 스키마를 쿼리할 수 있도록 허용하면 전반적인 보안 태세에 위험을 초래할 수 있습니다. 공격자는 스키마 확인을 통해 GraphQL 스키마에서 구현 세부 정보를 얻어 보다 표적화된 공격을 수행할 수 있습니다. GraphQL 스키마는 내부적으로 사용되는 필드, 설명, 공개 사용을 목적으로 하지 않을 수 있는 지원 중단 메모와 같은 정보를 누출할 수 있습니다.

예제 1: 다음 코드는 스키마 확인이 기본적으로 활성화된 상태로 Hot Chocolate GraphQL 끝점을 초기화합니다.

    services
        .AddGraphQLServer()
        .AddQueryType<Query>()
        .AddMutationType<Mutation>();
    

다른 웹 사이트의 실행 가능 콘텐트를 포함시키는 것은 위험한 발상입니다. 이는 다른 사이트와 사용자의 사이트 보안을 함께 묶는 행위입니다.

예제 1: 다음과 같은 script 태그를 고려하십시오.

  <script src="http://www.example.com/js/fancyWidget.js"></script>

이 태그가 www.example.com이 아닌 다른 웹 사이트에 나타나는 경우, 이 사이트의 정확한 비 악성 코드 사용 여부는 www.example.com에 따라 달라지게 됩니다. 공격자가 www.example.com을 손상시킨 경우, fancyWidget.js의 내용을 변경하여 사이트 보안을 침해할 수 있습니다. 예를 들어 fancyWidget.js에 코드를 추가하여 사용자의 기밀 데이터를 훔칠 수 있습니다.

프로그래머는 흔히 사용자가 내용을 보거나 조작할 수 없을 것으로 기대하며 숨겨진 필드의 내용을 신뢰합니다. 공격자는 이러한 가정을 위반합니다. 공격자는 숨겨진 필드에 기록된 값을 관찰하고 수정하거나 공격 데이터로 내용을 교체합니다.

예제 1:

  Hidden hidden = new Hidden(element);

숨겨진 필드에 민감한 정보가 있는 경우, 이 정보는 페이지의 나머지 부분 캐시 방법과 동일한 방법으로 캐시됩니다. 그러면 사용자에게 알리지 않고 민감한 정보가 브라우저 캐시에서 숨겨질 수 있습니다.

HTML5 기능 중 하나는 클라이언트 쪽 SQL 데이터베이스에 데이터를 저장하는 기능입니다. 데이터베이스에 작성하고 데이터베이스에서 읽기 시작하는 데 필요한 주요 정보는 해당 이름입니다. 따라서 데이터베이스의 이름이 사용자마다 다른, 고유한 문자열이어야 합니다. 데이터베이스의 이름을 추측하기 쉬운 경우, 다른 사용자와 마찬가지로 승인되지 않은 사용자가 민감한 데이터를 훔치거나 데이터베이스 항목을 손상시킬 수 있습니다.
예제 1: 다음 코드는 추측하기 쉬운 데이터베이스 이름을 사용합니다.

...
var db = openDatabase('mydb', '1.0', 'Test DB', 2 * 1024 * 1024);
...

이 코드는 성공적으로 실행되지만 데이터베이스 이름을 'mydb'로 추측할 수 있는 사람은 누구나 데이터베이스에 액세스할 수 있습니다.

CSP(Content Security Policy)는 웹 브라우저에서 렌더링될 때 사이트에서 콘텐트를 로드하거나 연결을 시작할 수 있도록 허용된 도메인을 지정하는, 선언적 보안 헤더입니다. CSP는 코드의 허용 목록 검사 및 입력 확인 외에 Cross-Site Scripting, 클릭재킹(Clickjacking), Cross-Origin 접근 등의 중요한 취약점을 차단하기 위한 추가 보안 계층 역할을 합니다. 하지만 헤더를 잘못 구성하면 이러한 추가 보안 계층이 형성되지 않습니다. 정책은 15개의 지정자를 사용하여 정의하는데, 이 가운데 다음 8개는 리소스 접근을 제어합니다. script-src, img-src, object-src, style_src, font-src, media-src, frame-src, connect-src.

이러한 각 지정자는 사이트가 해당 지정자에서 관여하는 기능에 접근할 수 있는 도메인을 지정하는 값으로 소스 목록을 사용합니다. 개발자는 전체 또는 일부 소스를 나타내기 위해 와일드카드인 *를 사용할 수도 있습니다. 지정자를 반드시 사용해야 하는 것은 아닙니다. 브라우저는 목록에 나열되지 않은 지정자에 대해 모든 소스를 허용하기도 하고 선택적 default-src 지정자에서 값을 파생하기도 합니다. 또한, 이 헤더의 사양은 시간이 지남에 따라 발전해 왔습니다. Firefox(버전 23까지)와 IE(버전 10까지)에서는 X-Content-Security-Policy로 구현되어 있었으며 Chrome(버전 25까지)에서는 X-Webkit-CSP로 구현되어 있었습니다. 하지만 이제는 새 표준 이름인 Content Security Policy를 사용하기 위해 두 이름 모두 더 이상 사용되지 않습니다. 지정자의 수, 더 이상 사용되지 않는 2개의 대체 이름, 그리고 단일 헤더에서 여러 번 나타나는 동일한 헤더와 반복되는 지정자가 처리되는 방식을 감안하면 개발자가 이 헤더를 잘못 구성할 확률이 높습니다.

다음과 같은 구성 오류 시나리오를 살펴보십시오.

- unsafe-inline 또는 unsafe-eval이 포함된 지정자는 CSP를 사용하는 목적을 무효화합니다.
- script-src 지정자가 설정되어 있지만 nonce 스크립트는 구성되어 있지 않습니다.
- frame-src가 설정되어 있지만 sandbox는 구성되어 있지 않습니다.
- 동일한 응답에서 이 헤더의 여러 인스턴스가 허용됩니다. 개발 팀과 보안 팀이 모두 헤더를 설정한 상황에서 어느 한 팀이 더 이상 사용되지 않는 이름 중 하나를 사용할 수도 있습니다. 최신 이름(즉, Content Security Policy)이 지정된 헤더가 없는 경우에는 더 이상 사용되지 않는 헤더가 허용되지만 이름이 content-security-header로 지정된 정책이 있는 경우에는 이러한 헤더가 무시됩니다. 이전 버전에서는 더 이상 사용되지 않는 이름만 인식하므로 원하는 지원 수준을 확보하려면 응답에 포함된 동일한 정책에 3개의 이름이 모두 지정되어 있어야 합니다.
- 헤더의 동일한 인스턴스에서 지정자가 반복되는 경우 이후에 사용되는 지정자는 모두 무시됩니다.

예제 1: 다음 django-csp 구성에서는 안전하지 않은 unsafe-inline 및 unsafe-eval 지정자를 사용하여 인라인 스크립트 및 코드 평가를 허용합니다.

...
MIDDLEWARE = (
    ...
    'csp.middleware.CSPMiddleware',
    ...
)
...
CSP_DEFAULT_SRC = ("'self'", "'unsafe-inline'", "'unsafe-eval'", 'cdn.example.net')
...

CSP는 웹 브라우저에서 렌더링될 때 사이트에서 콘텐트를 로드하거나 연결을 시작할 수 있도록 허용된 도메인을 지정하는, 선언적 보안 헤더입니다. CSP는 코드의 허용 목록 검사 및 입력 확인 외에 Cross-Site Scripting, 클릭재킹(Clickjacking), Cross-Origin 접근 등의 중요한 취약점을 차단하기 위한 추가 보안 계층 역할을 합니다.

Spring Security 및 기타 프레임워크는 기본적으로 Content Security Policy 헤더를 추가하지 않습니다. 웹 응용 프로그램 작성자는 이 추가 보안 계층의 혜택을 받으려면 보호된 리소스를 적용하거나 모니터링하기 위한 보안 정책을 선언해야 합니다.

웹 사이트를 프레임에 추가하도록 허용하면 보안에 이슈가 발생할 수 있습니다. 예를 들어, 클릭재킹(Clickjacking) 취약점이 발생하거나 원하지 않는 cross-frame 통신이 허용될 수 있습니다.

기본적으로 Spring Security와 같은 프레임워크에는 응용 프로그램을 프레이밍해야 하는지 브라우저에 지시하는 X-Frame-Options 헤더가 포함됩니다. 이 헤더를 사용하지 않거나 설정하지 않으면 cross-frame 관련 취약점이 발생할 수 있습니다.

예제 1: 다음 코드는 X-Frame-Options 헤더를 사용하지 않도록 Spring Security로 보호된 응용 프로그램을 구성합니다.

	<http auto-config="true">
        ...
        <headers>
            ...
            <frame-options disabled="true"/>
        </headers>
	</http>