웹 위협 경계

CORS, CSRF, XSS 방어 위치 기준표

웹 보안은 보안 기능 목록이 아니라 브라우저 요청 경로에서 Origin, Cookie, Token, Sanitization이 어디서 작동하는지 이해해야 합니다.

01

Origin 확인

브라우저가 보낸 Origin을 CORS 정책과 비교해 허용된 출처만 응답합니다.

CORS
02

쿠키 전송 판단

SameSite, Secure, HttpOnly 설정이 cross-site 요청에서 쿠키 전송을 제어합니다.

cookie
03

CSRF 검증

상태 변경 요청은 CSRF token 또는 SameSite 전략으로 위조 요청을 막습니다.

csrf
04

입력 처리

사용자 입력은 저장 전 검증하고 출력 시 문맥에 맞게 escape 또는 sanitize합니다.

xss
05

CORS 이후 권한 검사

CORS 통과와 인증 성공은 권한 검사를 대체하지 않습니다.

authz
CORS
브라우저 읽기 제한 서버 간 요청을 막는 기능이 아니라 브라우저가 응답을 노출할지 정하는 정책입니다.
credentials 한계
CSRF
사용자 의도 없는 상태 변경 쿠키 기반 인증에서 공격 사이트가 사용자의 세션을 빌려 요청을 보낼 수 있습니다.
SameSite/token
XSS
스크립트 주입 저장형/반사형/DOM 기반 공격 모두 출력 문맥별 인코딩과 sanitize가 필요합니다.
CSP 보조

보안 설정 확인

와일드카드 금지 credentials를 쓰면서 Origin을 넓게 열면 세션 기반 API가 위험해집니다.
상태 변경 보호 POST, PUT, PATCH, DELETE는 CSRF와 권한 검사를 모두 거쳐야 합니다.
출력 문맥 HTML, URL, JS, CSS 문맥마다 안전한 인코딩 방식이 다릅니다.