nerphmor
commented
4 years ago 추가질문으로 저희가 사용하지 않는 보안 프로토콜은 TLSv1.0, TLSv1.1 인데, 일시적으로 잠시 사용하려고 합니다. 혹시 위 2개 외에 Daum 우편번호 api에서 사용하는 프로토콜은 뭔지 알려주시면 감사하겠습니다.
Open nerphmor opened 4 years ago
nerphmor
commented
4 years ago 추가질문으로 저희가 사용하지 않는 보안 프로토콜은 TLSv1.0, TLSv1.1 인데, 일시적으로 잠시 사용하려고 합니다. 혹시 위 2개 외에 Daum 우편번호 api에서 사용하는 프로토콜은 뭔지 알려주시면 감사하겠습니다.
daumPostcode
commented
4 years ago @nerphmor 안녕하세요~ 해당이슈에 대해서는 제가 답변을 드리기가 어려워서 서버 담당자 분께 전달하도록 하겠습니다.
근데 알림 문구에 있는 것처럼 특정 확장 프로그램이 있다면 그 확장 프로그램을 끄고 해보시는건 어떠실까요.
nerphmor
commented
4 years ago 아래와 같이 저희가 현재 아래방식으로 다음 사이트들을 whitelist 하였는데요.
<add name="Content-Security-Policy" value=" default-src 'self' 'unsafe-inline' ko.donate.wfp.org; script-src 'self' 'unsafe-inline' ko.donate.wfp.org www.googletagmanager.com http://www.googletagmanager.com .cloudflare.com code.jquery.com maxcdn.bootstrapcdn.com www.google-analytics.com ajax.googleapis.com .daumcdn.net .facebook.net .facebook.com .fls.doubleclick.net; style-src 'self' 'unsafe-inline' ko.donate.wfp.org fonts.googleapis.com maxcdn.bootstrapcdn.com cdnjs.cloudflare.com .daumcdn.net; font-src 'self' 'unsafe-inline' ko.donate.wfp.org .bootstrapcdn.com fonts.gstatic.com .daumcdn.net; img-src 'self' 'unsafe-inline' ko.donate.wfp.org .google-analytics.com .doubleclick.net stats.g.doubleclick.net www.facebook.com .facebook.net .google.com www.gstatic.com .daumcdn.net; connect-src 'self' 'unsafe-inline' ko.donate.wfp.org .daumcdn.net; frame-src 'self' 'unsafe-inline' ko.donate.wfp.org .fls.doubleclick.net www.facebook.com .daumcdn.net"
/>
혹시 저희 세팅값에 문제가 있을까요? 아니면 어느 사이트를 whitelist해야하는지 어떤방식으로 Content Security policy를 진행하여야 하는지 가이드가 있을까요?
daumPostcode
commented
4 years ago @nerphmor 네. 우선 저는 Javascript API만 담당하고 있어서, 서버나 보안관련 이슈에 대해서는 정확히 답변을 드리긴 어려운데요. 말씀하신 것처럼 저희쪽 도메인을 추가하셨다고 하셨는데, 올려주신 글에서 보이는것은 daumcdn.net인데, 이 도메인은 저희 서비스의 리소스들을 가져오는 서버이고, 실제 서비스 서버가 아닙니다.
서비스 도메인은 : http://postcode.map.daum.net/, https://spi.maps.daum.net/ 이것이라, 한번 이걸로 확인해 보시겠어요?
nerphmor
commented
4 years ago 제가 개발자가 아니다 보니 이해하기 조금 어려운데요, 말씀하신 내용이 위 daumcdn.net로 들어가있는 도메인을 전부 http://postcode.map.daum.net나 https://spi.maps.daum.net/로 바꿔야 한다는 의미일까요? 알려주신 서비스 도메인 2개 중에서 어떤걸로 바꿔야 하는지 알려주시면 감사하겠습니다.
daumPostcode
commented
4 years ago @nerphmor 하나는 http프로토콜 기반 도메인이고 하나는 https프로토콜기반 도메인입니다. 후원사이트가 어떤 프로토콜을 사용하는지에 따라 달라질 수 있을 것 같아요.
안녕하세요 후원단체의 온라인 후원하기 페이지 제작한 업체입니다.
웹페이지 보안 등급을 A등급으로 상향조정 한 후, 크롬브라우저에서만 다음 우편번호 API가 아래와 같이 오류표시가 되는데 이유가 뭔지 알수 있을까요? GITHUB에 올라와있는 이전 글을 보면 Content Security Policy에 다음우편번호 도메인을 포함하면 된다고해서 이방법도 해봤는데 해결되지 않네요.
어떻게 하면 해결할수 있는지 자세한 방법 알려주시면 감사하겠습니다.