보안을 개선하기 위해 ASP.NET Core 애플리케이션의 핫 리로드(Hot Reload)는 콘텐츠 보안 정책(Content-Security-Policy, CSP) 헤더를 이해해야 합니다. DasBlog은 NWebSpec 라이브러리를 사용하여 CSP 헤더를 구성합니다. 기본적으로 CSP 헤더는 "자신"으로의 연결을 제한하여 핫 리로드와의 통신을 차단합니다. 개발 환경에서 핫 리로드를 활성화하려면 CSP 헤더를 사용하여 개발 서버에 대한 WebSocket 연결을 명시적으로 허용해야 합니다. 예를 들어, "connect-src: wss://localhost:62895"와 같은 헤더를 사용할 수 있습니다. CSP 헤더는 개발 환경과 프로덕션 환경에서 다르게 구성되어야 합니다. 이렇게 하면 보안을 유지하면서 핫 리로드와 같은 개발 도구를 사용할 수 있습니다. 개발 편의성과 보안의 균형을 유지하려면 두 시나리오 모두에 필요한 헤더를 인식하는 것이 중요합니다.
feeds.hanselman.com
.NET 6 Hot Reload and "Refused to connect to ws: because it violates the Content Security Policy directive" because Web Sockets
RSS Hunter
2021-11-16