서비스에서 다음 CSP를 적용했는데 이미지가 안 보인다는 이슈가 발생했다. 원인은?
Content-Security-Policy: default-src 'self'; script-src 'self';
- 이미지(img-src)는 default-src를 따른다 → 오직 self만 허용됨
- CDN, 외부 저장소(S3, CloudFront 등) 이미지는 차단됨
- 해결책:
img-src 'self'https://cdn.example.comhttps://*.s3.amazonaws.com;
서비스에서 CSRF를 막기 위해 SameSite 속성을 쿠키에 적용하려고 한다. 로그인 세션 쿠키에 SameSite=Lax를 적용했을 때 어떤 현상이 발생할까? 1. 모든 외부 사이트에서 요청이 막힌다 2. a 태그 클릭으로 이동하는 경우에는 쿠키가 포함된다 3. <form> POST 요청도 외부에서 정상적으로 동작한다
정답: 2
- Lax는 기본적으로 외부 사이트에서 발생하는 대부분의 cross-site 요청은 쿠키 전송 안 함
- 단, a 태그 클릭 → GET 이동 같은 top-level navigation에는 허용됨
- CSRF 토큰을 함께 쓰는 이유가 여기 있음