본문 바로가기
homaki.tistory.com의 구글 광고
컴퓨터

구글 리캡차(reCAPTCHA) Content Security Policy 설정

by homaki 2017. 1. 8.
◆ 이 블로그의 모든 게시물은 여러 방법을 이용해 다른 곳으로 퍼가는 것은 절대 허용하지 않습니다.
◆ 단, 게시물 링크를 남기는 것만 허용합니다.
이 문장 바로 아래글 내용 끝에 바로 나오는 광고티스토리 자체광고로 이 블로그와 무관합니다.

Content Security Policy는 XSS(Cross Site Scripting)와 데이터 인젝션 등의 공격을 대비한 보안 정책이다.

헤더에 추가하여 사용하는데, 어떻게 설정을 하느냐에 따라 각종 스크립트 등의 동작 여부가 결정된다.

음... 어쨌든 Content Security Policy를 설정하면 구글 리캡차(reCAPTCHA)는 동작하지 않으니 정책을 추가 해야 한다.


// 아래 내용을 웹서버 설정이나 html 헤더 등 양식에 맞게 추가하면 된다.
script-src https://www.google.com/recaptcha/ https://www.gstatic.com/recaptcha/
frame-src https://www.google.com/recaptcha/
style-src 'unsafe-inline'
// 아파치 VirtualHost 안에 넣는 예시.
Header always set Content-Security-Policy "script-src https://www.google.com/recaptcha/ https://www.gstatic.com/recaptcha/; style-src 'unsafe-inline'; frame-src https://www.google.com/recaptcha/"
// header에 meta 태그로 넣는 예시.
<meta http-equiv="Content-Security-Policy" content="script-src https://www.google.com/recaptcha/ https://www.gstatic.com/recaptcha/; style-src 'unsafe-inline'; frame-src https://www.google.com/recaptcha/">


다른 정책 없이 넣으면 웹페이지가 제대로 뜨지 않게 되니 운영하는 웹페이지에 맞는 정책들과 함께 추가를 해야 한다.

댓글

homaki.tistory.com의 구글 광고