본문 바로가기

사전 › Security

Security#Security#Web

XSS란? — Cross-Site Scripting

악성 스크립트를 웹 페이지에 주입해 다른 사용자 브라우저에서 실행시키는 공격.

XSS란?

공격자가 웹 애플리케이션에 악성 JavaScript를 주입해 다른 사용자의 브라우저에서 실행시키는 공격이다. 쿠키 탈취, 세션 하이재킹 등이 가능하다.

종류

Stored XSS — DB에 저장된 악성 스크립트 (댓글 등)
Reflected XSS — URL 파라미터를 그대로 렌더할 때
DOM XSS — 클라이언트 JS가 innerHTML 등으로 처리할 때

방어

사용자 입력은 HTML 이스케이프 후 출력
CSP(Content-Security-Policy) 헤더 설정
쿠키에 HttpOnly, Secure, SameSite 속성
프레임워크의 자동 이스케이프 신뢰 (React, Vue)

관련 기술노트

BackendXSS 방어 전략 — 프론트엔드와 백엔드 양면 접근

함께 보면 좋은 용어

CSRF로그인된 사용자의 권한을 악용해 의도치 않은 요청을 보내게 하는 공격.CVE공개된 보안 취약점에 부여되는 고유 식별자. CVE-연도-번호 형식.OAuth사용자의 비밀번호를 공유하지 않고 제3자에게 제한된 권한을 위임하는 표준 프로토콜.SQL Injection사용자 입력을 조작해 의도하지 않은 SQL을 실행시키는 공격. Prepared Statement로 방어.

← 전체 사전으로