CSP ๋ฆฌ์คํธ๋ SDK๊ฐ ์ ๊ณตํ๋ ๊ธฐ๋ฅ์ด ๋ณ๊ฒฝ ๋จ์ ๋ฐ๋ผ ์ธ์ ๋ ์ง ์์ ๋ ์ ์์ต๋๋ค.
Content Security Policy(CSP)๋ Cross-Site-Scripting (XSS), Clickjacking, Pixel-Perfect timing attacks๊ณผ ๊ฐ์ ์ฝ๋ ์ธ์ ์ (Code injection) ๊ณต๊ฒฉ์ ๋ฐฉ์งํ๊ธฐ ์ํ ์น ๋ณด์ ๊ธฐ์ค์ ๋๋ค.
๋ง์ฝ CSP๋ฅผ ์ง์ํ๊ณ ์ ํ๋ค๋ฉด, ํ์ดํธ ๋ฆฌ์คํธ์ ์๋ ์ฑ๋ํก์ CSP ๋ฆฌ์คํธ๋ฅผ ์ถ๊ฐํฉ๋๋ค.
default-src
*.channel.io
*.channel.app
*.cdninstagram.com
connect-src
*.channel.io
*.channel.app
*.sentry.io
wss://*.channel.io
wss://*.desk-ws.channel.io
wss://*.front-ws.channel.io
script-src
'unsafe-inline'
*.channel.io
*.sentry-cdn.com
style-src
'unsafe-inline'
img-src
*.channel.io
*.cdninstagram.com
blob:
script-src
ํ์์ 'unsafe-inline'
๋ ์ค์นํ๊ธฐ์ ์๊ฐ๋ ์ธ๋ผ์ธ ์คํฌ๋ฆฝํธ(inline script)๋ฅผ ์ฌ์ฉํ๋ ๊ฒฝ์ฐ์๋ง ํ์ํฉ๋๋ค. 'unsafe-inline'
๋ nonce-
ํค์๋๋ก ๋์ฒด ๊ฐ๋ฅํฉ๋๋ค. ๋ ์์ธํ ๋ด์ฉ์ CSP: script-src๋ฅผ ์ฐธ๊ณ ํฉ๋๋ค.