**Cross-Site Scripting(XSS)**은 공격자가 다른 사용자가 보는 웹 페이지에 악의적인 JavaScript를 주입하는 취약점으로, 그들의 브라우저에서 실행되어 데이터를 훔치거나 session을 탈취하거나 그들을 가장하여 작업을 수행합니다. 흔하고 위험한 웹 취약점이지만 적절한 출력 처리로 예방할 수 있습니다.
사용자 입력이 적절한 escaping 없이 페이지에 렌더링되면, 주입된 SCRIPT가 실행된다:
<!-- ❌ 취약 — 사용자 입력이 HTML에 직접 렌더링됨 -->
<>Welcome, <%= userInput %>
주입된 스크립트는 피해자의 브라우저에서 신뢰된 사이트로부터 온 것처럼 실행됩니다 — 공격자가 session 쿠키/token을 훔치고, 계정을 탈취하고, 키 입력을 캡처하거나, 사용자로서 작업을 수행할 수 있게 합니다.
STORED → 악의적인 스크립트가 서버에 SAVED됨(예: 댓글) → 모든 열람자에게 제공
REFLECTED → 요청의 스크립트(예: URL 파라미터)가 응답에 그대로 반영됨
DOM-based → 클라이언트 측 JS가 신뢰할 수 없는 데이터를 DOM에 안전하지 않게 넣음
✓ 출력 ESCAPE/ENCODE → 사용자 데이터를 HTML이 아닌 TEXT로 렌더링(핵심 방어):
→ 프레임워크(React, Angular, Vue)는 기본적으로 자동 escape → 올바르게 사용
→ 컨텍스트에 따라 escape(HTML, 속성, JS, URL)
✓ 위험한 API 회피 → 신뢰할 수 없는 데이터로 innerHTML, dangerouslySetInnerHTML, eval
✓ 허용해야 한다면 HTML SANITIZE(예: 리치 텍스트용 DOMPurify)
✓ Content Security Policy (CSP) → 실행 가능한 스크립트 제한(심층 방어)
✓ HttpOnly 쿠키 → JS가 읽을 수 없음(XSS를 통한 쿠키 도난 제한)
XSS와 그 예방 방법을 이해하는 것이 필수적인 이유는 그것이 공격자가 사용자의 브라우저에서 악의적인 스크립트를 실행하게 하는 흔하고 위험한 웹 취약점이기 때문이며, 따라서 웹 개발자에게 반드시 알아야 할 보안 지식입니다.
작동 방식을 이해하는 것 — 사용자 입력을 적절한 escaping 없이 페이지에 렌더링하면 주입된 JavaScript가 신뢰된 사이트의 컨텍스트에서 다른 사용자의 브라우저에서 실행되어 공격자가 session 쿠키와 token을 훔치고, 계정을 탈취하고, 사용자로서 행동할 수 있게 됨 — 은 취약점을 인식하고 예방하는 데 필요합니다.
XSS는 사용자의 session과 데이터를 침해하기 때문에 위험하며, 사용자 생성 콘텐츠를 표시하는 웹 앱에서 흔합니다.
유형을 이해하는 것(stored XSS — 악의적인 스크립트가 서버에 저장되어 모든 열람자에게 제공됨, 가장 위험함; reflected XSS — 요청에서 반영되는 스크립트; DOM-based XSS — 클라이언트 측의 안전하지 않은 DOM 조작)은 서로 다른 공격 벡터를 인식하는 데 도움이 됩니다.
예방을 이해하는 것이 필수적입니다: 출력 escaping/encoding(사용자 데이터를 HTML이 아닌 텍스트로 렌더링 — 핵심 방어이며, React 같은 현대 프레임워크는 올바르게 사용하면 기본적으로 자동 수행함), 위험한 API 회피(신뢰할 수 없는 데이터로 innerHTML, dangerouslySetInnerHTML, eval — 흔한 XSS 원천), HTML 정화(리치 콘텐츠를 허용해야 할 때, 예: DOMPurify), Content Security Policy(심층 방어로서 스크립트 실행 제한), HttpOnly 쿠키(JS가 읽지 못하게 함)입니다.
프레임워크가 자동으로 escape한다는 점(따라서 올바르게 사용하면 대부분의 XSS를 예방하고, escaping을 우회하면 다시 도입됨)을 이해하는 것은 실무적으로 중요합니다.
XSS는 사용자의 session과 데이터를 침해하는 흔하고 위험한 취약점으로 특히 사용자 콘텐츠를 표시하는 앱에서 흔하며, 그 작동 방식과 예방 방법(출력 escaping, 위험한 API 회피, CSP, 프레임워크 기본값)을 이해하는 것이 웹 개발자에게 필수적이므로, XSS와 그 예방을 이해하는 것은 필수적이고 반드시 알아야 할 보안 지식입니다. 이는 방어해야 할 근본적인 웹 취약점이며, 적절한 출력 처리(escaping, 프레임워크 기본값 사용, 위험한 API 회피)는 광범위한 공격 부류로부터 사용자를 보호하는 핵심 지식입니다.