사용자 입력이 화면에 출력될 때 코드로 해석되는 문제다. 문맥별 출력 인코딩이 가장 먼저 나온다.
브라우저, 인증 상태, 서버 파일 처리 중 어디를 보호해야 하는지 먼저 나누면 대응책을 빠르게 고를 수 있다.
사용자 입력이 화면에 출력될 때 코드로 해석되는 문제다. 문맥별 출력 인코딩이 가장 먼저 나온다.
브라우저가 쿠키를 자동 전송하는 점을 악용한다. CSRF Token, SameSite, Origin 검증을 쓴다.
업로드 파일이 실행되거나 직접 접근되면 위험하다. 확장자, MIME, 시그니처, 실행 권한을 함께 본다.
CSP는 실행 출처를 제한하고 HttpOnly는 쿠키 탈취를 줄인다. 근본 대책을 대체하지는 않는다.
비밀번호 변경, 결제, 권한 변경은 토큰 검증과 재인증을 적용하고 GET 요청 처리를 피한다.
파일명 난수화, 크기 제한, 악성코드 검사, 접근통제를 더해 업로드 파일을 실행 대상으로 만들지 않는다.