신뢰할 수 없는 제어 영역에서의 기능 포함

서드파티 도메인에서 SRI 없이 JavaScript 또는 CSS 파일을 포함할 때 발생하는 보안 취약점 및 조치 방법 안내

설명 # JavaScript 또는 CSS 소스 파일이 서브리소스 무결성(SRI) 없이 서드파티 도메인에서 포함되고 있습니다. 공격자가 이러한 서드파티 리소스를 호스팅하는 사이트를 침해할 경우, 악성 스크립트 또는 CSS 데이터를 삽입하여 애플리케이션 사용자를 공격하려 시도할 수 있습니다. 그러나 SRI가 적용된 경우, 공격자가 스크립트의 내용을 수정하려 시도하더라도 브라우저가 해당 스크립트를 로드하지 않아 애플리케이션 사용자를 악성 변조로부터 보호할 수 있습니다. 조치 방법 # 식별된 모든 리소스는 대상 애플리케이션과 동일한 도메인에서 제공되어야 합니다. 이것이 불가능한 경우, src 값을 구현하는 모든 script 태그 또는 href 값을 구현하는 link 태그에 서브리소스 무결성을 포함하는 것을 강력히 권장합니다. SRI 무결성 값을 생성하려면 SRI 해시 도구를 사용하거나 다음 명령어 중 하나를 실행할 수 있습니다: cat FILENAME.js | openssl dgst -sh