HTTP SECURITY

웹 요청 보안 경계

URL, 헤더, 쿠키, Body는 모두 조작될 수 있으므로 서버 검증과 안전한 상태 관리가 필요하다.

클라이언트

요청을 만들지만 신뢰 대상은 아니다.

HTTP 요청

메서드, 경로, 헤더, 본문을 검증한다.

서버 로직

인증과 인가를 서버에서 판단한다.

DB 연동

입력값 연결 방식이 SQL Injection과 직결된다.

응답

상태코드, 쿠키, 오류 메시지 노출을 제어한다.

쿠키 보호: HttpOnly, Secure, SameSite로 세션 탈취와 CSRF 위험을 낮춘다.

HTTPS 한계: 통신 구간은 보호하지만 XSS, SQL Injection, 권한 오류를 자동 해결하지는 않는다.