[HTML] <meta> http-equiv 속성 알아보기

HTML <meta> 태그는 문서의 부가적인 정보를 제공하는 태그이다.

 

meta 태그의 http-equiv 속성은 HTTP 헤더에 정보 또는 값을 제공하는 content 속성이다.

 

주로 사용하는 용도는 HTML 문서에서 사용할 문서의 종류나 페이지 이동(새로 고침) 등에 사용해 볼 수 있다.

 

문법

<meta http-equiv="content-security-policy|content-type|default-style|refresh">

 

속성 값 알아보기

속성	설명
content-security-policy	문서에 대한 콘텐츠 정책을 지정한다. <meta http-equiv="content-security-policy" content="default-src 'self'">
content-type	문서의 character encoding을 지정한다. <meta http-equiv="content-type" content="text/html; charset=UTF-8">
default-style	사용할 선호 스타일 시트를 지정한다. <meta http-equiv="default-style" content="the document's preferred stylesheet">
refresh	문서가 자동으로 새로 고쳐지는 시간 간격(초 단위)을 정의한다. <meta http-equiv="refresh" content="5; url=http://이동할주소">

content-security-policy

문서에 대한 콘텐츠 보안정책을 지정한다.

<meta http-equiv="content-security-policy" content="script-src 'self' https://api.google.com">

웹의 보안 모델은 동일 출처 정책에 근간을 두고 있습니다. https://mybank.com의 코드는 https://mybank.com의 데이터만 만 액세스 권한이 있으며 https://evil.example.com에는 액세스 권한이 없습니다. 각 출처는 나머지 웹과 격리되며, 빌드하여 재생할 수 있는 안전한 샌드박스를 개발자에게 제공합니다.  이론상 완벽할 정도로 훌륭합니다. 실제로는 공격자가 영리하게 그 시스템을 파괴했습니다.

 

예를 들어, 교차 사이트 스크립팅(XSS) 공격은 사이트를 속여 악성 코드를 의도된 콘텐츠와 함께 전달하게 하여 동일 출처 정책을 우회합니다. 이는 브라우저가 페이지의 모든 코드를 해당 페이지의 합법적인 보안 출처의 일부로 신뢰하므로 심각한 문제를 낳습니다. XSS Cheat Sheet는 오래된 방법이지만 공격자가 악성 코드를 삽입하여 해당 신뢰를 위반하는 데 사용할 수 있는 방법의 대표적인 예입니다. 공격자가 어떤 코드를 조금이라도 삽입하면 거의 게임은 끝납니다. 사용자 세션 데이터가 위험에 노출되고 비밀로 유지되어야 할 정보가 나쁜 사람에게 넘어갑니다. 그런 상황을 가능한 한 예방하길 원하는 것은 명백합니다.

이 개요는 최신 브라우저에서 XSS 공격의 위험과 영향을 현저히 줄일 수 있는 방어책인 콘텐츠 보안 정책(CSP)에 중점을 두고 있습니다.

 

 

content-type

문서의 character encoding을 지정한다.

<meta http-equiv="content-type" content="text/html; charset=UTF-8">

 

default-style

사용할 선호 스타일 시트를 지정한다.

<meta http-equiv="default-style" content="the document's preferred stylesheet">

 

refresh

문서가 자동으로 새로 고쳐지는 시간 간격(초 단위)을 정의한다. url이 없으면 자신의 페이지가 새로고침 된다.

<meta http-equiv="refresh" content="5; url=http://이동할주소">