Qt WebEngine 보안 고려 사항

이 페이지는 Qt WebEngine 사용자를 위한 보안 문제를 다룹니다. Qt의 일부로서, Qt WebEngine 는 Qt의 보안 정책을 따릅니다. 정책 정보는 Qt의 보안을 참조하십시오.

크롬 릴리스 및 보안 수정

Qt WebEngine 에서 Chromium의 릴리스 일정을 추적합니다. 최신 Qt WebEngine 버전에는 Chromium에서 릴리스된 보안 수정 사항이 포함되어 있습니다. 정확한 버전 번호와 릴리스된 수정 사항을 보려면 QtWebEngine/ChromiumVersions의 위키 페이지를 방문하세요.

WebEngine Qt Core가 Chromium 기능을 구현하는 방법과 특정 버전에 대한 자세한 내용은 Qt WebEngine 코어 모듈 섹션을 참조하십시오. 또한 Chromium의 보안 정책을 숙지하는 것도 도움이 됩니다.

Qt WebEngine 애플리케이션에 대한 보안 주제

애플리케이션 내에서 신뢰할 수 없는 데이터와 민감한 데이터를 처리하는 데 주의하세요. 이미지, 사용자 정보, 시스템 정보 등의 데이터는 원격 리소스, 애플리케이션 내부 또는 시스템 로컬에서 로드될 수 있습니다. 성능 저하와 민감한 정보 노출 없이 신뢰할 수 없는 데이터를 안전한 방식으로 처리하는 방법에 주의하세요. 파일 이름과 디렉토리 경로를 공개하는 것만으로도 시스템 정보 및 데이터베이스 구조와 같은 민감한 데이터가 노출될 수 있습니다.

Qt WebEngine 및 Chromium에는 알 수 없는 소스에서 로드되는 위험을 최소화하기 위해 동일 출처 정책과 같은 메커니즘이 있습니다. 많은 웹사이트가 대화 상자나 인기 있는 웹사이트를 모방하여 사용자를 속입니다. 와 Qt WebEngine를 사용하면 최종 사용자에게 신뢰할 수 있는 데이터만 로드하여 표시하고 인터페이스를 잠가 원치 않는 입력을 방지할 수 있습니다. 사용자 인터페이스는 잘못된 입력과 예기치 않은 이벤트를 처리할 수 있도록 견고해야 합니다.

웹 애플리케이션의 심각한 보안 문제는 크로스 사이트 스크립팅 (XSS)입니다. 이 공격은 웹 애플리케이션을 속여 사용자의 신뢰를 얻기 위해 악성 HTML 콘텐츠를 생성하는 코드를 실행하는 것을 포함합니다. 예를 들어, 애플리케이션이 사용자도 모르게 악성 코드를 실행하여 사용자 자격 증명을 묻는 대화 상자를 생성합니다. 그런 다음 이러한 자격 증명이 외부 서비스로 전송되어 계정이 침해될 수 있습니다. 대화 상자를 생성하는 것은 애플리케이션이기 때문에 사용자는 이 악성 행위를 신뢰하게 됩니다. URL 구문 분석에 주의를 기울이고 사용자 인터페이스를 오용할 수 없도록 해야 합니다.

위험 및 완화 조치에 대한 자세한 내용은 신뢰할 수 없는 데이터 처리하기를 참조하세요.

Qt WebEngine 설정 구성

기본적으로 액세스를 제한하는 제로 트러스트 정책을 적용하는 것이 좋습니다. Qt WebEngine 배포를 구성하면 사용자 및 원격 실행을 제한하는 데 도움이 될 수 있습니다. QWebEngineSettings 에는 JavaScript 실행을 비활성화하거나 이미지 자동 로딩을 비활성화하거나 의도하지 않은 사용을 방지하는 기타 메커니즘을 비활성화할 수 있는 속성이 있습니다. 예를 들어 QWebEngineSettings::LocalContentCanAccessFileUrls 을 비활성화하면 크롬이나 파이어폭스와 유사한 샌드박스 환경을 만들 수 있습니다.