프로그래밍/- eGov
header xss 보안처리
즐겁게 하하하
2025. 1. 17. 21:09
728x90
interceptor 또는 filter 에서 처리
try {
// Content-Security-Policy Header 설정 (unsafe-eval은 ckeditor에서도 사용하므로 어쩔 수 없이 추가)
response.setHeader("Content-Security-Policy",
"default-src 'self' 'unsafe-inline'; " +
"script-src 'self' 'unsafe-inline' 'unsafe-eval'; style-src 'self' 'unsafe-inline'; " +
"font-src 'self' data: img-src 'self' data:;");
// Secure Cookie 설정
response.setHeader("Set-Cookie", "name=value; Secure; HttpOnly;");
// SameSite Cookie 설정
response.setHeader("Set-Cookie", "name=value; SameSite=Lax");
}728x90