[HTML] script 태그 integrity, nomodule, nonce, referrerpolicy

이번 글에서는 script 태그와 함께 쓰이는 속성들 중 4가지, integrity, nomodule, nonce, referrerpolicy 속성의 정의와 역할에 대하여 다루겠습니다.

 

# script integrity 속성

  integrity의 사전적 의미는 ‘진실성, 나누어지지 않은 온전함’입니다. script 태그와 함께 사용되는 integrity 속성은 사용자 에어진트가 가져온 리소스에 예기치 못한 변형이 존재하는 지 검사하여 소스가 조작된 것으로 판단되어질 때 코드 로딩을 차단하는 역할을 합니다.

• 현재에 와서는 integrity 속성은 잘 사용되지 않으며, CDN 이나 SRI를 많이 사용하게 되며 integrity는 그저 ‘ 돌다리도 두드려야지 ’ 하는 느낌으로 설정하는 수준에 이르렀습니다.

 

# script nomodule 속성

  ES2015 모듈을 지원하는 브라우저에서는 실행하지 않을 스크립트임을 나타내는 불리언 속성입니다. 모듈화 JavvaScript를 지원하지 않는 오래된 브라우저는 특정 스크립트 태그를 로드할 필요가 없습니다. 로딩이 불가능함에도 로딩하려하여 생기는 오류들을 사전의 방지하기 위한 속성입니다.

• 모듈화(modularity) : 프로그래밍 언어로 프로그램을 제작시 생산성과 최적화, 관리에 용이하게 모듈(기능) 단위로 분할하는 것.

 

# script nonce 속성

  먼저, nonce란 ‘특정 상황에서만 쓰기 위해 만든 말 또는 표현’ 이라는 뜻을 가지고 있습니다. script 태그와 함께 쓰이는 nonce 속성은 script 태그의 화이트리스트에 스크립트를 등록하기 위한 일회용 암호 역할을 합니다.

• 암호화 숫자를 지정하여 콘텐츠 보안정책이 주어진 지정된 요소를 진행하도록 허용할지의 여부를 결정합니다

 

# script referrerpolicy 속성

(1) reffererpolicy 속성 정의

  referrer란, ‘언급하는 사람 또는 조회인’ 이라는 뜻을가지고 있습니다. referrerpolicy 속성스크립트를 가져올 때, 또는 스크립트가 다른 리소스를 가져올 때 전송할 리퍼러를 형식을 지정합니다.

 

(2) referrerpolicy 속성 형태

• no-refferer : referrer 헤더를 사용하지 않도록 지정합니다.

• no-referrer-when-downgrade : https를 지원하지 않는 접속에 대해서는 referrer 의 전송을 차단합니다.

• origin : referrer 헤더가 요청의 출처를 포함합니다.

• origin-when-cross-origin : 동일출처 요청에는 매개변수를 제거한 전체 url을 전송하고, 교차 출처 요청에 대해서는 출처만을 전송합니다.

• same-origin : 동일 출처 요청에는 매개변수를 제거한 전체 url을 전송하며 교차 출처 요청에 대해서는 정보를 차단합니다.

• strict-origin : 목적지가 현재 문서와 동일하거나 더 높은 보안 수준을 가진 경우에는 출처를 전송하고 더 취약한 경우에는 전송하지 않습니다.

• strict-origin-when-cross-origin : 동일 출처 요청에는 매개변수를 제거한 전체 url을 전송합니다. 목적지가 현재 문서와 동일하거나 더 높은 보안수준을 가진 경우 자신의 출처를 전송하며 둘 모두 해당되지 않는다면 정보를 차단합니다.

• unsafe-url : 모든 경우에 전체 url을 전송합니다.

 

 

여기까지 script 태그와 함께 쓰이는 속성들 중 4가지, integrity, nomodule, nonce, referrerpolicy 속성의 정의와 역할에 대하여 다루었습니다.