기능 완성 뒤에도 요청·입력·전송·가용성을 함께 잠가야 한다

HTTPS, XSS, SQL Injection, CSRF, DDoS는 서로 다른 위치에서 웹 서비스의 신뢰성과 가용성을 지킨다.

전송HTTPS

암호화와 인증서로 도청과 변조를 낮춘다.

입력/출력XSS / SQLi

검증, escape, prepared statement로 명령 주입을 막는다.

요청CSRF

토큰과 SameSite 쿠키로 위조 요청을 줄인다.

가용성DDoS

CDN, 방화벽, rate limit로 대량 트래픽 충격을 분산한다.

공격발생 위치핵심 방어
XSS댓글, 검색어, 프로필처럼 HTML에 다시 출력되는 값출력 escape, CSP, 입력 검증
SQL Injection쿼리에 들어가는 사용자 입력Prepared Statement, 최소 권한
CSRF로그인된 사용자의 상태 변경 요청CSRF token, SameSite, Origin 확인
DDoS네트워크, 서버, 애플리케이션 입구CDN, WAF, rate limit, auto scaling

실무 기준: 프론트 방어와 백엔드 검증을 동시에 두고, 사용자 입력은 항상 신뢰하지 않는 값으로 취급한다.