AEM Sites에서 인라인 스크립트에 대한 컨텐츠 보안 정책 임시 지원

Last update: Wed Dec 24 2025 00:00:00 GMT+0000 (Coordinated Universal Time)

엄격한 CSP(콘텐츠 보안 정책)는 XSS(교차 사이트 스크립팅)와 같은 보안 위험을 완화합니다. Adobe Experience Manager(AEM) 사이트에서 script-src 'unsafe-inline' 및 'unsafe-eval'을(를) 사용하면 인라인 스크립트를 사용할 수 있지만 취약점이 발생합니다. 이 안내서에서는 AEM Sites이 안전하지 않은 지시문 없이 인라인 스크립트를 로드하기 위해 CSP 임시 항목을 지원하는지 또는 안전한 대체 항목을 지원하는지 설명합니다.

이 문제를 해결하려면 인라인 스크립트를 리팩터링하고 사용자 지정 임시 처리를 구현해야 합니다.

설명 description

환경

제품: AEM as a Cloud Service - 사이트

문제/증상

CSP가 'unsafe-inline' 및 'unsafe-eval'을(를) 제외할 때 인라인 스크립트를 로드하지 못했습니다.
이러한 플래그를 제거하면 보안상 위험으로 플래그가 지정되지만 기능이 중단됩니다.
보안을 손상하지 않고 인라인 스크립트 실행을 허용하려면 CSP 임시 항목과 같은 보안 메서드가 필요합니다.

해결 방법 resolution

주요 고려 사항:

AEM Sites은 CSP 노드에 대한 기본 지원을 제공하지 않습니다.
AEM은 인라인 스크립트를 임시 항목으로 자동으로 꾸미지 않습니다.

안전하지 않은 지시문 없이 더 엄격한 CSP 정책을 적용하려면(예: unsafe-inline/unsafe-eval 제외):
- 인라인 스크립트를 외부 JavaScript 파일로 리팩터링합니다. 자세한 내용은 Experience Platform 설명서에서 CSP 구성을 참조하십시오.
- 필요한 경우 임시 항목을 생성하고 주입할 사용자 지정 솔루션을 빌드합니다.
모든 변경 사항을 테스트하여 페이지 기능이 중단되지 않았는지 확인하십시오.

메모:

CSP의 부재는 AEM에 내재된 취약점을 구성하지 않습니다. CSP는 추가적인 방어 계층 역할을 합니다. Commerce 설명서에서 콘텐츠 보안 정책 개요를 참조하십시오.
사용자 지정 구현은 현재 기본적으로 지원되는 것보다 강화된 CSP 시행을 위해 필요합니다.

recommendation-more-help

3d58f420-19b5-47a0-a122-5c9dab55ec7f