웹 보안
혼합 콘텐츠란 무엇입니까?
계란바구니
2022. 6. 12. 19:50
혼합 콘텐츠는 초기 HTML이 보안 HTTPS 연결을 통해 로드되지만 다른 리소스(예: 이미지, 비디오, 스타일시트, 스크립트)는 비보안 HTTP 연결을 통해 로드될 때 발생합니다.
안전하지 않은 HTTP 프로토콜을 사용하여 하위 리소스를 요청하면 전체 페이지의 보안이 약화됩니다. 이러한 리소스를 사용하여 공격자는 웹 사이트의 사용자를 추적하고 콘텐츠를 교체할 수 있습니다.
이것이 브라우저가 혼합 콘텐츠를 점점 더 차단하는 이유입니다.
두 가지 유형의 혼합 콘텐츠
- 수동 혼합 콘텐츠는 페이지의 나머지 부분과 상호 작용하지 않는 콘텐츠를 말하므로 메시지 가로채기 공격은 해당 콘텐츠를 가로채거나 변경할 경우 수행할 수 있는 작업으로 제한됩니다. 수동 혼합 콘텐츠는 이미지, 비디오 및 오디오 콘텐츠로 정의됩니다.
- 활성 혼합 콘텐츠는 페이지 전체와 상호 작용하며 공격자가 페이지에서 거의 모든 작업을 수행할 수 있도록 합니다. 활성 혼합 콘텐츠에는 브라우저에서 다운로드하고 실행할 수 있는 스크립트, 스타일시트, iframe 및 기타 코드가 포함됩니다.
수동 혼합 콘텐츠
-
문제가 덜 있어보이지만 여전히 보안 위협을 받습니다.
-
공격자는 사이트의 이미지에 대한 HTTP 요청을 가로채 이러한 이미지를 교체할 수 있습니다.
-
공격자는 저장 및 삭제 버튼 이미지를 교환하여 사용자가 의도하지 않은 콘텐츠를 삭제하도록 할 수 있습니다.
-
제품 이미지를 외설적이거나 음란한 콘텐츠로 교체하여 사이트를 손상시킵니다.
-
혼합 콘텐츠 요청을 통해 사용자 추적합니다.
활성 혼합 콘텐츠
-
공격자는 활성 콘텐츠를 가로채서 다시 작성하여 페이지 또는 전체 웹 사이트를 완전히 제어할 수 있습니다.
-
대부분의 브라우저는 사용자를 보호하기 위해 기본적으로 이러한 유형의 콘텐츠를 차단하지만 각각의 기능은 브라우저의 종류와 버전에 따라 다릅니다.
혼합 콘텐츠 사양
-
선택적으로 차단할 수 없는 모든 콘텐츠는 차단 가능한 것으로 간주되며 브라우저에서 차단해야 합니다.
-
최근 몇 년 동안 HTTPS 사용이 급격히 증가했으며 웹에서 명백한 기본값이 되었습니다. 이를 통해 브라우저는 명시적으로 차단할 수 없는 하위 리소스 유형을 포함하여 모든 혼합 콘텐츠 차단할 수 있습니다.