# InsuRo CSP 헤더 긴급 수정 — 서비스 차단 해소

## 작업 레벨: Lv.1

## ★★★ 긴급 ★★★
CSP가 api.insuro.biz, Supabase WebSocket, Pretendard 폰트를 차단하여 전체 서비스 장애 발생.

## 프로젝트
- InsuRo: `/home/jay/projects/InsuRo`

## 문제
task-2264에서 보안 강화 목적으로 추가한 CSP 헤더가 정상 서비스를 차단:
1. `connect-src`에 `https://api.insuro.biz` 누락 → **모든 서버 API 호출 차단 (failed to fetch)**
2. `connect-src`에 `wss://*.supabase.co` 누락 → Realtime WebSocket 차단
3. `style-src`에 Pretendard CDN 누락 → **폰트 깨짐**
4. `connect-src`에 PostHog 도메인 누락 → 분석 차단
5. `font-src`에 `fonts.gstatic.com` 누락 → Google Fonts 로드 실패

## 수정 사항

### public/_headers 수정

```
/*
  Content-Security-Policy: default-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval' https://t1.kakaocdn.net https://us-assets.i.posthog.com; style-src 'self' 'unsafe-inline' https://fonts.googleapis.com https://cdn.jsdelivr.net; font-src 'self' https://fonts.gstatic.com https://cdn.jsdelivr.net; img-src 'self' data: blob: https:; connect-src 'self' https://*.supabase.co wss://*.supabase.co https://api.insuro.biz https://aidevserver.tail2cdab6.ts.net:* https://*.posthog.com https://fonts.googleapis.com https://fonts.gstatic.com;
```

### 추가된 도메인:
- `connect-src`: `https://api.insuro.biz`, `wss://*.supabase.co`, `https://*.posthog.com`, `https://fonts.googleapis.com`, `https://fonts.gstatic.com`
- `style-src`: `https://cdn.jsdelivr.net` (Pretendard)
- `font-src`: `https://fonts.gstatic.com`, `https://cdn.jsdelivr.net`
- `script-src`: `https://us-assets.i.posthog.com`

## affected_files
- `public/_headers` (수정)

## 검증 시나리오
1. insuro.biz 접속 → 콘솔 CSP 에러 0건
2. 소식지 AI 질문 → 정상 응답 (failed to fetch 없음)
3. 폰트 정상 로드 (글자 깨짐 없음)
4. npm run build 성공