고급 설정(프리뷰)
[이 항목은 시험판 문서이며 변경될 수 있습니다.]
보안 작업 영역을 사용하면 Power Pages 디자인 스튜디오에서 직접 보안 위협으로부터 사이트 콘텐츠와 데이터를 추가로 보호할 수 있습니다. 고급 설정을 사용하면 사이트의 HTTP 헤더를 빠르고 효율적으로 구성하고 CSP(콘텐츠 보안 정책), CORS(Cross Origin Resource Sharing), 쿠키, 권한 등을 구성할 수 있습니다.
중요
- 이는 프리뷰 기능입니다.
- 프리뷰 기능은 생산용으로 만들어진 것이 아니므로 기능이 제한될 수 있습니다. 이런 기능은 공식 릴리스 전에 사용할 수 있으므로 고객이 조기에 액세스하고 피드백을 제공할 수 있습니다.
- Power Pages에 로그인하고 편집할 사이트를 엽니다.
- 왼쪽 탐색 메뉴에서 보안 작업 영역을 선택한 다음 고급 설정(프리뷰)을 선택합니다.
CSP(콘텐츠 보안 정책) 구성
콘텐츠 보안 정책(CSP)은 웹 서버에서 웹 페이지에 대한 일련의 보안 규칙을 시행하는 데 사용됩니다. XSS(교차 사이트 스크립팅), 데이터 삽입, 기타 코드 삽입 공격 등 다양한 유형의 보안 공격으로부터 사이트를 보호하는 데 도움이 됩니다.
지시문
다음 지시문이 지원됩니다:
| 지령 | 설명 |
|---|---|
| 기본 원본 | 다른 지시어에 의해 명시적으로 정의되지 않은 콘텐츠의 기본 원본을 지정합니다. 이는 다른 지시문에 대한 대체 역할을 합니다. |
| 이미지 원본 | 이미지의 유효한 원본을 지정합니다. 이미지를 로드할 수 있는 도메인을 제어합니다. |
| 글꼴 원본 | 이미지의 글꼴 원본을 지정합니다. 웹 글꼴을 로드할 수 있는 도메인을 제어하는 데 사용됩니다. |
| 스크립트 원본 | JavaScript 코드의 유효한 원본을 지정합니다. 스크립트 원본에는 특정 도메인, 동일한 출처의 경우 'self', 인라인 스크립트의 경우 'unsafe-inline', 특정 nonce가 있는 스크립트의 경우 'nonce-xyz'가 포함될 수 있습니다. nonce를 활성화하거나 안전하지 않은 평가를 삽입하도록 선택하세요. 사이트의 콘텐츠 보안 정책 관리 nonce 활성화에서 자세히 알아보세요. |
| 스타일 원본 | 스타일시트의 유효한 원본을 지정합니다. script-src와 유사하게 도메인, 'self', 'unsafe-inline' 및 'nonce-xyz'를 포함할 수 있습니다. |
| 연결 원본 | XMLHttpRequest, WebSocket 또는 EventSource에 대한 유효한 원본을 지정합니다. 페이지에서 네트워크 요청을 할 수 있는 도메인을 제어합니다. |
| 미디어 원본 | 오디오 및 비디오의 유효한 원본을 지정합니다. 미디어 리소스를 로드할 수 있는 도메인을 제어하는 데 사용됩니다. |
| 프레임 원본 | 프레임의 유효한 원본을 지정합니다. 페이지에 프레임을 포함할 수 있는 도메인을 제어합니다. |
| 프레임 앤세스터 | 현재 페이지를 프레임으로 포함할 수 있는 유효한 원본을 지정합니다. 페이지를 삽입할 수 있는 도메인을 제어합니다. |
| 양식 작업 | 양식 제출에 대한 유효한 원본을 지정합니다. 양식 데이터를 보낼 수 있는 도메인을 정의합니다. |
| 개체 원본 | Flash 파일이나 기타 포함된 개체와 같은 개체 요소의 리소스에 대한 유효한 원본을 지정합니다. 이는 이러한 개체를 로드할 수 있는 원본을 제어하는 데 도움이 됩니다. |
| 작업자 원본 | 전용 작업자, 공유 작업자, 서비스 작업자를 포함하여 웹 작업자에 대한 유효한 원본을 지정합니다. 이러한 작업자 스크립트를 로드하고 실행할 수 있는 원본을 제어하는 데 도움이 됩니다. |
| 매니페스트 원본 | 전용 작업자, 공유 작업자, 서비스 작업자를 포함하여 웹 작업자에 대한 유효한 원본을 지정합니다. 이러한 작업자 스크립트를 로드하고 실행할 수 있는 원본을 제어하는 데 도움이 됩니다. |
| 하위 연결 | 전용 작업자, 공유 작업자, 서비스 작업자를 포함하여 웹 작업자에 대한 유효한 원본을 지정합니다. 이러한 작업자 스크립트를 로드하고 실행할 수 있는 원본을 제어하는 데 도움이 됩니다. |
각 지시문에 대해 특정 URL, 모든 도메인을 선택하거나 아무것도 선택하지 않을 수 있습니다.
고급 구성에 대해서는 사이트의 콘텐츠 보안 정책 관리: 사이트의 CSP 설정를 참고하세요.
CORS(교차 원본 리소스 공유) 구성
CORS(교차 출처 리소스 공유)는 웹 브라우저에서 한 도메인에서 실행되는 웹 애플리케이션이 다른 도메인의 리소스를 요청하고 액세스하는 것을 허용하거나 제한하는 데 사용됩니다.
지시문
다음 지시문이 지원됩니다:
| 지령 | 설명 | 가치 |
|---|---|---|
| 서버에서 리소스 액세스 허용 | Access-Control-Allow-Origin이라고도 알려져 있으며 서버가 리소스에 액세스할 수 있는 원본을 결정하는 데 도움이 됩니다. 원본은 도메인, 프로토콜 및 포트일 수 있습니다. | 도메인 URL 선택 |
| 서버 요청 중 헤더 전송 | Access-Control-Allow-Headers라고도 알려져 있으며, 서버의 리소스에 액세스하기 위해 다른 원본의 요청으로 보낼 수 있는 헤더를 정의하는 데 도움이 됩니다. | 출처 수락 승인 콘텐츠 – 유형 권한이 있는 특정 헤더 선택 |
| 클라이언트 측 코드에 헤더 값 노출 | Access-Control-Expose-Headers라고도 하는 이 지시어는 응답 헤더가 노출되어야 하고 교차 출처 요청에서 요청하는 클라이언트 측 코드에 액세스할 수 있도록 브라우저에 지시합니다. | 출처 수락 승인 콘텐츠 – 유형 권한이 있는 특정 헤더 선택 |
| 리소스에 액세스하는 방법 정의 | Access-Control-Allow-Methods라고도 하며, 다른 출처에서 서버의 리소스에 액세스할 때 허용되는 HTTP 메서드를 정의하는 데 도움이 됩니다. | GET - 지정된 리소스에서 데이터 요청 POST - 처리할 데이터를 지정된 리소스에 제출 PUT - 특정 URL에서 리소스 업데이트 또는 교체 HEAD - GET과 동일하지만 실제 콘텐츠가 아닌 헤더만 검색 PATCH - 리소스를 부분적으로 수정 OPTIONS - 리소스 또는 서버에 사용할 수 있는 통신 옵션에 대한 정보 요청 DELETE - 지정된 리소스 삭제 |
| 요청 결과 캐싱 기간 지정 | Access-Control-Max-Age라고도 하며, 브라우저에서 사전 검사 요청의 결과를 캐시할 수 있는 기간을 정의하는 데 도움이 됩니다. | 기간을 시간(초)으로 지정 |
| 사이트에서 자격 증명을 공유하도록 허용 | Access-Control-Allow-Credentials라고도 알려져 있으며 교차 출처 요청 중에 사이트가 쿠키, 승인 헤더 또는 클라이언트 측 SSL 인증서와 같은 자격 증명을 공유할 수 있는지 정의하는 데 도움이 됩니다. | 예/아니요 |
| 동일한 출처의 웹 페이지를 iFrame으로 표시 | X-Frame-Options라고도 하는 이 옵션을 사용하면 요청이 동일한 출처에서 온 경우에만 페이지를 iframe으로 표시할 수 있습니다. | 예/아니요 |
| MIME 스니핑 차단 | X-Content-Type-Options: no-sniff라고도 하는 이 옵션은 웹 브라우저가 MIME 유형(콘텐츠 형식) 스니핑을 수행하거나 리소스의 콘텐츠 형식을 추측하는 것을 방지하는 데 도움이 됩니다. | 예/아니요 |
쿠키 구성(CSP)
HTTP 요청의 쿠키 헤더에는 이전에 웹 사이트가 브라우저에 저장한 쿠키에 대한 정보가 포함되어 있습니다. 웹사이트를 방문하면 귀하의 브라우저는 해당 사이트와 관련된 모든 관련 쿠키가 포함된 쿠키 헤더를 서버로 다시 보냅니다.
지시문
다음 지시문이 지원됩니다:
| 지령 | 설명 | 헤더 |
|---|---|---|
| 모든 쿠키에 대한 전송 규칙 | 교차 출처 요청으로 쿠키가 전송되는 방식을 제어합니다. 특정 유형의 CSRF(교차 사이트 요청 위조) 및 정보 유출 공격을 완화하기 위한 보안 기능입니다. | 이 설정은 SameSite/기본값 헤더에 해당합니다. |
| 특정 쿠키에 대한 전송 규칙 | 교차 출처 요청으로 쿠키가 전송되는 방식을 제어합니다. 특정 유형의 CSRF(교차 사이트 요청 위조) 및 정보 유출 공격을 완화하기 위한 보안 기능입니다. | 이 설정은 SameSite/특정 쿠키 헤더에 해당합니다. |
CSP(권한 정책 구성)
권한 정책 헤더를 사용하면 웹 개발자가 웹 페이지에서 어떤 웹 플랫폼 기능을 허용하거나 거부할지 제어할 수 있습니다.
지시문
다음 지시문이 지원되며 해당 API에 대한 액세스를 제어합니다.
- Accelerometer
- Ambient-Light-Sensor
- 자동 재생
- Battery
- 카메라
- 표시
- Document-Domain
- Encrypted-Media
- Execution-While-Not-Rendered
- Execution-While-Out-Of-Viewport
- Fullscreen
Gamepad
- Geolocation
- Gyroscope
- Hid
- Identity-Credentials-Get
- Idle-Detection
- Local-Fonts
- Magnetometer
- 마이크
- Midi
- Otp-Credentials
- 지불
- Picture-In-Picture
- Publickey-Credentials-Create
- Publickey-Credentials-Get
- Screen-Wake-Lock
- Serial
- Speaker-Selection
- Storage-Access
- Usb
- Web-Share
- Window-Management
- Xr-Spatial-Tracking
추가 HTTP 헤더 구성
HTTPS를 통한 보안 연결 허용
HTTP Strict-Transport-Security 헤더에 해당하는 설정은 사용자가 주소 표시줄에 "http://"를 입력하더라도 HTTPS를 통해서만 웹사이트에 연결해야 한다고 브라우저에 알립니다. 이는 서버와의 모든 통신을 암호화하고 프로토콜 다운그레이드 공격 및 쿠키 하이재킹과 같은 특정 유형의 공격으로부터 보호함으로써 메시지 가로채기(man-in-the-middle) 공격을 방지하는 데 도움이 됩니다.
참고
보안상의 이유로 이 설정은 수정할 수 없습니다.
HTTP 헤더에 참조 페이지 정보 포함
Referrer-Policy HTTP 헤더는 사용자가 한 페이지에서 다른 페이지로 이동할 때 요청 출처에 대한 정보(참조 페이지 정보)가 HTTP 헤더에 공개되는 정도를 제어하는 데 사용됩니다. 이 헤더는 참조 페이지 정보와 관련된 개인 정보 보호 및 보안 측면을 제어하는 데 도움이 됩니다.
| 값 | 설명 |
|---|---|
| 참조 페이지 없음 | 참조 페이지 없음은 참조 페이지 정보가 헤더에 전송되지 않음을 의미합니다. 이 설정은 개인 정보 보호를 가장 중요하게 생각하는 옵션입니다. |
| 다운그레이드 시 참조 페이지 없음 | HTTPS에서 HTTP 사이트로 이동할 때는 전체 참조 페이지 정보를 보내지만 HTTPS 사이트 간을 이동할 때는 원본(경로나 쿼리 없음)만 보냅니다. |
| 동일 출처 - 참조 페이지 정책 | 동일 출처는 요청이 동일한 출처에 대한 경우에만 전체 참조 페이지 정보를 보냅니다. 교차 출처 요청의 경우 출처만 전송됩니다. |
| 원본 | 출처는 참조 페이지의 원본을 보내지만 동일 원본 및 교차 원본 요청 모두에 대해 경로나 쿼리 정보는 보내지 않습니다. |
| 엄격한 원본 | 원본과 유사하지만 동일한 원본 요청에 대한 참조 페이지 정보만 전송합니다. |
| 교차 원본 시 원본 | 원본과 유사하지만 동일한 원본 요청에 대한 참조 페이지 정보만 전송합니다. |