[SpringBoot]Content-Security-Policy(resorces request https)

개발을 마치고 배포를 하는 과정에서

프로젝트의 css 및 js resources를 받아오지 못하는 상황을 겪었다 정확히는 SSL적용 하지않았기때문에

프로토콜이 http로 요청되어져야 하는데 브라우저에서 리소스를 다운 받을 때 https경로로 요청을 했기때문이다.

처음에는 로컬에서 임시 SSL키를 만들어 사용했는데 그게 톰캣내부적으로 설정이 되버린건가 싶어서

플젝도 새로만들어 코드도 옮겨보고했지만 여전히 요청은 https 가는 상황이었다 (아래그림처럼 .. ).

열심히 구글링을 하면서 구글 크롬 정책관련글도보고 해서 이게 크롬브라우저의 이슈인건가 싶었지만

다른 프로젝트는 잘 돌아가는 걸 보면 납득할 수 있는 이유는 아니었다. 그렇게 헤메던중 동료중 한명이 

특정 url에 접속했을때는 리소스들을 잘 가져오는 걸 보고 코드 서칭을 시작했다 . 그러던 중 찾은 녀석

색칠 되어있는 부분의 녀석이다.

<meta http-equiv="Content-Security-Policy" content="upgrade-insecure-requests">

이 태그를 주석처리하고 다시 접속해보니 문제가 해결되었다 해당 태그관련으로 찾아보니

content-security-policy를 설정할 경우 http로 호출하는 모든 리소스가 자동으로 https로 호출하게끔 하는 보안기능이라고 한다 . 매콤했다....... 서버쪽 문제인줄만알고 진짜 뭐가문제인지 도통 감이 안잡혔는데...... meta태그 한 줄 이 이렇게

강력하다니 . . . . . . . 잘 확인하면서 사용하자 

 

참고블로그 : https://s-b-c.tistory.com/35

참고자료 : https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Security-Policy/upgrade-insecure-requests