클러스터 C3: 네트워크 및 보안
운영 환경 장애를 부르는 CSP 실수
CSP 의 위험은 문법보다 실제 리소스와 정책이 맞지 않아 운영에서 조용히 기능을 막는 데 있습니다.
가장 흔한 원인은 정책과 의존성의 불일치
페이지가 열린다는 이유만으로 배포하고, 실제로 쓰는 서드파티 스크립트, 폰트, API 엔드포인트까지 확인하지 않는 경우가 많습니다.
`script-src`, `connect-src`, `frame-src` 가 실제 의존성과 어긋나면 응답은 200 이어도 기능은 망가지는 장애가 발생합니다.
더 안전한 배포 순서
- 먼저 Report-Only 로 실제 위반을 수집합니다.
- 새 도메인이나 스크립트를 추가할 때 CSP 와 회귀 테스트를 함께 갱신합니다.
- CDN 과 프록시에서 헤더가 바뀌지 않았는지 diff 로 확인합니다.
실무 입력/출력 예시
입력
Content-Security-Policy: script-src 'self'; connect-src 'self'
출력
https://api.partner.com 연결이 차단됨 connect-src 에 해당 도메인 추가 필요