SQLi
서버에서 쿼리 구조를 고정
Prepared Statement와 최소 권한으로 DB 피해를 줄인다.
입력값은 데이터로만 취급
XSS
출력 시점의 문맥 인코딩
HTML, 속성, URL, 스크립트 문맥을 구분한다.
브라우저 실행 차단
CSRF
상태 변경 요청의 출처 확인
토큰과 SameSite로 인증 쿠키의 자동 전송을 통제한다.
사용자 의도 확인
JWT
서명, 만료, 저장 위치 확인
알고리즘 혼동, 긴 만료, 로컬 저장소 노출을 경계한다.
토큰 탈취 대비