인프런 커뮤니티 질문&답변

CSP, CORS, SRI, 쿠키 속성, Referrer-Policy 같은 HTTP 기반 보안정책들은
서버가 응답 헤더로 내려주면 브라우저의 내부 policy layer에서 관리된다고 알고 있습니다.

그런데 이때 브라우저가 이런 보안 정책들을 저장하고 적용하는 단위가
Origin 단위(정확히 scheme + host + port)로 관리되는지,
아니면 Site 단위(예: eTLD+1 기반, 쿠키 격리처럼 더 넓은 범위) 로 관리되는지도 궁금합니다.

즉, 브라우저의 보안 정책(policy layer)은 어떤 기준 단위로 정책을 식별·적용하며,
개발자가 설정한 CSP나 CORS 같은 정책들이 브라우저 내부에서
어떤 스코프로 캐싱·격리되어 동작하는지 알고 싶습니다.