CORS CSRF XSS

웹 보안 대응 매칭

CORS, CSRF, XSS는 모두 웹 보안 문제지만 원인과 방어 위치가 다릅니다. 요청 출처, 사용자 의도, 출력 데이터 신뢰를 나누어 봅니다.

CORS허용 출처 제한
CSRF토큰과 SameSite
XSS출력 이스케이프
Headers보안 헤더 보강
01

CORS

브라우저가 다른 출처 요청을 허용할지 판단하는 정책입니다.

02

CSRF

로그인된 사용자의 권한을 빌려 원치 않는 요청을 보내는 공격입니다.

03

XSS

신뢰하지 못한 입력이 스크립트로 실행되는 문제입니다.

04

Nest 대응

enableCors, CSRF 토큰, validation, escaping, helmet을 조합합니다.

방어 기준

  • CORS는 넓게 열기보다 필요한 origin, method, header만 허용합니다.
  • 상태 변경 요청은 CSRF 토큰과 SameSite 쿠키 전략을 함께 봅니다.
  • HTML로 출력될 데이터는 입력 검증과 출력 이스케이프를 모두 고려합니다.

위험 신호

* origin과다 허용
cookieCSRF 위험
innerHTMLXSS 위험
helmet헤더 보강