크로스 사이트 스크립팅

크로스 사이트 스크립팅(XSS) 공격의 개요, 컨텍스트 유형별 인코딩 방법 및 보안 조치에 대한 설명입니다.

설명 # 크로스 사이트 스크립팅(XSS)은 웹 애플리케이션이나 시스템이 사용자 입력을 마크업 또는 스크립트 코드로 처리하도록 악용하는 공격입니다. 데이터가 사용되는 특정 컨텍스트에 따라 데이터를 인코딩하는 것이 중요합니다. 컨텍스트 유형은 최소 여섯 가지가 있습니다: HTML 태그 내부 <div>컨텍스트 1</div> 속성 내부: <div class="컨텍스트 2"></div> 이벤트 속성 내부: <button onclick="컨텍스트 3">button</button> 스크립트 블록 내부: <script>var x = "컨텍스트 4"</script> 안전하지 않은 요소 HTML 할당: element.innerHTML = "컨텍스트 5" URL 내부: <iframe src="컨텍스트 6"></iframe><a href="컨텍스트 6">link</a> 스크립트 블록만으로도 여러 방