저장 위치 확인
댓글, 프로필, 검색어가 어디에 저장되거나 반사되는지 본다.
입력값은 출력 위치에 따라 위험 문자가 달라진다. HTML 본문, 속성, 스크립트 문맥을 먼저 나누고 그 위치에서 인코딩한다.
댓글, 프로필, 검색어가 어디에 저장되거나 반사되는지 본다.
본문, 속성, URL, 스크립트 중 들어가는 위치를 구분한다.
해당 문맥에 맞는 escaping을 출력 지점에서 적용한다.
CSP, HttpOnly, sanitizing으로 피해와 우회를 줄인다.
태그가 새로 만들어지지 않게 엔티티로 출력한다.
속성 경계가 깨지면 onerror 같은 이벤트가 삽입된다.
JSON 직렬화와 nonce 기반 CSP로 실행 경로를 제한한다.
저장 전 필터만 믿지 말고 출력 지점에서 인코딩한다.
innerHTML, document.write, location 조작을 점검한다.
HttpOnly는 피해를 줄이지만 XSS 자체를 없애지는 않는다.