CSP(Content Security Policy) 설정 문제
안녕하세요.
결제 연동 개발을 하는 중에 문제가 생겨서 문의 드립니다.
저희는 웹브라우저에서 ffmpeg을 사용합니다.
ffmpeg이 SharedArrayBuffer를 사용하기 때문에 COI (Cross Origin Isolation) 환경에서만 작동을 합니다.
이에 toss payment 자바스크립트 로딩이 되지 않는데요. 제가 알기로는 CSP에 등록을 하면 로딩이 되는 것으로 알고 있습니다.
csp에 등록하는 패턴이 있는지 문의 드립니다.
https://developer.mozilla.org/ko/docs/Web/HTTP/CSP
아니면, 다른 해결책이 있는지도 문의 드립니다.
감사합니다.
MDN Web Docs
컨텐츠 보안 정책 (CSP) - HTTP | MDN
콘텐츠 보안 정책 (CSP)는 교차 사이트 스크립팅(XSS)과 데이터 주입 공격을 비롯한 특정 유형의 공격을 탐지하고 완화하는 데 도움이 되는 추가 보안 계층입니다. 이러한 공격은 데이터 절도에서 사이트 훼손, 맬웨어 배포에 이르기까지 모든 것에 사용됩니다.
6 Replies
⏳ 잠시만 기다려주세요! 곧 답변드리겠습니다
오류 문의일 경우 아래 정보를 미리 전달해주시면, 빠른 답변에 도움이 됩니다.
- 주문번호(orderId) :
- 문의 내용 :
(img를 함께 첨부해주시면 도움이됩니다)
* 계약관련 내용은 1544-7772로 문의주세요.
* 주말/공휴일에는 답변이 늦을 수 있어요.
메일로도 답변을 드리긴 했는데요. CSP 로 제한한 상태에서 결제창을 여는 것은 제한이 많습니다.
적어도 결제 페이지에서는 CSP 를 설정하지 않으시는 방향으로 고려해 주시기 바랍니다.
저희가 싱글 페이지 어플리케이션으로 개발되어 있어서, 한 페이지만, CSP 설정을 풀거나 할 수가 없어서요.
그리고, CSP는 페이지(저희같은 경우는 처음 한번)가 로딩되면 변경이 불가능합니다.
현실적으로는 도메인을 특정할수가 없습니다.
카드결제를 안쓰신다면 모를까 카드사의 경우 도메인 특정이 불가해서요.
SPA 에서 결제 버튼을 따로 만들고 그걸 누르면 새창을 띄우신후 결제하도록 처리하시는게 가장 좋을것 같습니다.
이건 저희뿐 아니라 국내 PG 사 모두 동일한 제약사항입니다.
네, 알겠습니다.
❤️ 기술문의 경험이 어떠셨나요?!
간단히 코멘트 남겨주세요! 제품 발전에 큰 힘이 됩니다.