SECURITY CH4
XSS의 종류
XSS는 악성 스크립트가 어디에 머물고, 언제 브라우저에서 실행되는지를 기준으로 나눕니다.
Stored
저장형 XSS
게시글, 댓글, 프로필에 저장된 값이 조회할 때 반복 실행됩니다.
Reflected
반사형 XSS
URL이나 요청 파라미터가 응답에 그대로 반영될 때 실행됩니다.
DOM-based
DOM 기반 XSS
클라이언트 스크립트가 URL 조각이나 입력값을 안전하지 않게 DOM에 넣습니다.
입력 저장 전
서버 저장 데이터 검증과 위험 태그 제거
Stored 대응
응답 출력 시
HTML, 속성, URL, JavaScript 문맥별 인코딩
공통 대응
브라우저 처리
innerHTML 같은 위험 API 사용을 피하고 CSP 적용
DOM 대응