https://www.webpagetest.org/ 에서 아래 처럼 보이게 했습니다~.
Content-Security-Policy 지정하기가 까다롭네요. script-src를 'self' 'unsafe-inline' 으로만 해서는 안되고 'unsafe-eval' 까지 넣어줘야는 군요. eval( ) 함수를 몇몇 js 에서 사용하고 있나봅니다. 다른 항목은 대부분 허용으로 해놨는데 제대로 하기는 쉬운일이 아니네요.
https://www.immuniweb.com/websec/ 에서도 A로 올려놨습니다.
네, 위에 webpagetest.org는 그 항목이 있나 없나만 검사하네요 ㅎ..
그래도 평소에 관심안두던 것들을 체크해줘서 도움이 되었습니다.
두번째 사이트는 조금 더 세부 항목도 지적해주는데 다 맞추기는 힘들고 적당한 선에서 타협했습니다 ㅎㅎ..
새로 알게 된 사실이, TLS v1.0하고 TLS v1.1를 nginx에서 허용하더라도 openSSL 서비스단에서 자동으로 차단하도록 default 설정이 되어 있네요(Ubuntu 20.04 LTS). 결국 윈도7미만 혹은 IE10, IE9은 자동으로 차단되었겠네요 (설정에서 TLS1.2 허용으로 바꿔주면 되지만 그걸 아직도 쓰는 사람들이 알것 같지는 않고). 물론 최근 브라우져 점유율 통계보면 이들 점유율이 0.06%까지 떨어졌다고 하니까 이제는 역사속의 얘기가 되어버렸지만요 ㅎㅎ.
이것저것 다 허용해 주면 Content-Security-Policy가 무의미해지긴 하는데...
저런 테스트 사이트에서는 헤더가 존재하기만 해도 점수를 잘 주니까 일종의 꼼수죠. ㅎㅎ