CSP 지시문이 왜 적용이 안될까요??
response header에 CSP 지시문이 default-src 'self'; img-src https://dreamhack.io; style-src 'self' 'unsafe-inline'; script-src 'nonce-{nonce}' 'unsafe-eval' https://ajax.googleapis.com; object-src 'none' 이렇게 되어있는데 index.html에서 아래 스크립트가 어떻게 실행이 되는건가요? 출처가 https://ajax.googleapis.com 일 때만 스크립트 실행이 가능한거 아닌가요?
<script src="/static/js/jquery.min.js" nonce=""></script>
#web
답변
1
hoppi_
대표 업적 없음
안녕하세요 qpal님
default-src 'self'는 모든 리소스가 동일 출처에서 로드되어야 함을 의미합니다.
따라서 문제의 서버의 /static/js/jquery.min.js가 로드됩니다.
질문에 대한 답을 알고 계신가요?
지식을 나누고 포인트를 획득해보세요.
답변하고 포인트 받기 지식을 나누고 포인트를 획득해보세요.
