CSP(콘텐츠 보안 정책) 구성

콘텐츠 보안 정책이란?

CSP(콘텐츠 보안 정책)는 XSS(교차 사이트 스크립팅) 및 기타 코드 삽입 공격으로부터 스토어프런트를 보호하는 데 도움이 되는 HTTP 응답 헤더입니다. CSP를 사용하면 브라우저가 페이지에 로드할 수 있는 스크립트, 스타일, 이미지 및 기타 리소스를 제어할 수 있습니다.

스토어프런트에 대한 CSP 헤더를 구성할 때 브라우저는 지정된 규칙과 일치하지 않는 콘텐츠를 차단하여 이러한 정책을 적용합니다.

CSP에 대한 고객의 책임

CSP 구성은 B2C Commerce 고객의 책임입니다. Salesforce는 사용자를 대신하여 CSP를 관리하거나 구성하지 않습니다. 스토어프런트에 로드할 수 있는 스크립트, 스타일 및 기타 리소스를 제어할 수 있습니다. CSP 구성이 Salesforce에서 제공하는 스크립트 및 타사 통합을 포함하여 필요한 모든 스크립트를 실행할 수 있도록 허용하는지 확인해야 합니다. CSP가 너무 제한적이면 스토어프런트가 제대로 작동하는 데 필요한 스크립트를 차단할 수 있습니다.

CSP 고려 사항이 필요한 스크립트

CSP를 구성할 때 정책에서 다음 유형의 스크립트를 허용하는지 확인합니다.

• Salesforce 분석 스크립트— 추적 및 분석 기능을 제공하는dwanalytics와 같은 스크립트입니다.
• 인라인 스크립트— 스토어프런트 기능에 필요한 HTML 페이지에 직접 임베드된 스크립트입니다.
• Einstein 스크립트— Einstein 추천, 예측 정렬 및 기타 개인화 기능을 지원하는 스크립트입니다.

CSP 문제 해결

스토어프런트 기능이 예상대로 작동하지 않는 경우 CSP 제한으로 인해 필요한 스크립트가 차단될 수 있습니다. CSP 문제를 진단하려면 브라우저의 개발자 도구를 열고 콘솔 탭에서 CSP 위반 오류를 확인합니다. 그런 다음 오류 메시지를 검토하여 차단되는 스크립트 또는 리소스를 식별합니다. 마지막으로 차단된 리소스를 허용하도록 CSP 구성을 업데이트합니다.

개발 팀과 협력하여 적절한 보안 보호를 유지하면서 필요한 모든 스크립트를 허용하도록 CSP 설정을 검토하고 조정합니다.