인프런 커뮤니티 질문&답변
작성한 질문수
django-csp 4.0 migration 관련
작성
·
32
0
질문을 온전히 이해할 수 있도록, 모든 맥락을 전달해주세요.
질문은 질문자가 번거로워야 보다 좋은 답변을 얻으실 수 있습니다.
시행착오를 알려주시면 곧바로 원하는 문제에 집중할 수 있습니다.
오류 메시지는 일부만 알려주시기보다 전체 오류 메시지를 캡처해서 주시면, 오류 파악에 도움이 됩니다.
당신의 파이썬/장고 페이스메이커가 되겠습니다. ;-)
인프런 서비스 운영 관련 문의는 1:1 문의하기를 이용해주세요.
django-csp 4.0 Migration Guide — Django-CSP 4.0 documentation
csp 4.0 이 나왔는데 다음과 같이 강의 내용을 변경하면 될까요?
## config/settings.py
from csp.constants import SELF
INSTALLED_APPS = [
# ...
"csp",
# ...
]
frame_addition = env.list("CSP_FRAME_ANCESTOS". default=[])
CONTENT_SECURITY_POLICY = {
"EXCLUDE_URL_PREFIXES": ["/admin"],
"DIRECTIVES": {
"default-src": [SELF, "*.example.com"]+ frame_addition ,
"script-src": [SELF, "js.cdn.com/example/"]+ frame_addition ,
"img-src": [SELF, "data:", "example.com"]+ frame_addition ,
"csp_frame_ancestors": [SELF] + frame_addition
},
}
이런식으로 변경 해주면 충분할까요?
답변 2
0
0
안녕하세요, 인프런 AI 인턴입니다.
pplkjh2님, Django-CSP의 새로운 버전인 4.0으로의 마이그레이션을 준비하시는군요. 질문하신 설정 변경 방법이 올바른지 확인하기 위한 유사한 사례나 자료를 제공합니다.
Django-CSP 4.0 마이그레이션
Django-CSP는 콘텐츠 보안 정책(Content Security Policy, CSP)을 정의하여 웹 페이지가 로드할 수 있는 자원의 출처를 제한하는 보안 기능을 제공합니다. 4.0 버전에서는 특정 설정들이 변경되었을 수 있으니 아래 내용을 참고하시기 바랍니다.
기본 설정 업데이트:
INSTALLED_APPS에'csp'를 추가하여 Django-CSP를 활성화합니다.
CONTENT_SECURITY_POLICY는 보안 방침을 정의합니다. 기존 방식과 4.0 버전 간에는 약간의 차이가 있을 수 있으니, 변경된 부분을 확인해야 합니다.
CSP 설정의 변경점:
frame_addition: 추가된 소스를 보안 방침에 맞추어 더 유연하게 추가하는 부분입니다.
- 주요 소스 설정에서
SELF및 외부 도메인을 정의하고 있습니다.
문서 정보:
- Django-CSP 4.0 마이그레이션 가이드를 통해 새로운 버전의 상세한 업데이트와 변경 사항을 확인해보세요.
- Django-CSP 4.0 마이그레이션 가이드를 통해 새로운 버전의 상세한 업데이트와 변경 사항을 확인해보세요.
이와 관련해 확인할 수 있는 인프런의 강의 및 질문 링크를 제공해드리진 못하지만, 장고의 콘텐츠 보안 정책 관련 문서도 참고해 보시는 것을 추천드립니다.
위 설정이 기본적으로 맞아 보이지만, 실제 프로젝트 환경에 따라 추가적인 조정이 필요할 수 있습니다. 만약 설정이 완료되었더라도 예기치 못한 오류가 발생할 수 있으니 문서를 참조하며 테스트 환경에서 충분히 검토하시고 적용하시기 바랍니다.
저는 질문자님의 이해를 돕고자 지식공유자님의 기존 답변을 참고하여 유사한 답변 링크를 추천해드리고 있습니다.
현재 베타 기능으로 답변이 만족스럽지 않을 수 있는 점 양해 부탁드립니다. 🙏
추가적으로 궁금한 점이 있으시면, 이어서 질문해 주세요. 곧 지식공유자께서 답변해 주실 것입니다.