암호화와 인증서로 도청과 변조를 낮춘다.
기능 완성 뒤에도 요청·입력·전송·가용성을 함께 잠가야 한다
HTTPS, XSS, SQL Injection, CSRF, DDoS는 서로 다른 위치에서 웹 서비스의 신뢰성과 가용성을 지킨다.
검증, escape, prepared statement로 명령 주입을 막는다.
토큰과 SameSite 쿠키로 위조 요청을 줄인다.
CDN, 방화벽, rate limit로 대량 트래픽 충격을 분산한다.
| 공격 | 발생 위치 | 핵심 방어 |
|---|---|---|
| XSS | 댓글, 검색어, 프로필처럼 HTML에 다시 출력되는 값 | 출력 escape, CSP, 입력 검증 |
| SQL Injection | 쿼리에 들어가는 사용자 입력 | Prepared Statement, 최소 권한 |
| CSRF | 로그인된 사용자의 상태 변경 요청 | CSRF token, SameSite, Origin 확인 |
| DDoS | 네트워크, 서버, 애플리케이션 입구 | CDN, WAF, rate limit, auto scaling |
실무 기준: 프론트 방어와 백엔드 검증을 동시에 두고, 사용자 입력은 항상 신뢰하지 않는 값으로 취급한다.