XSS(Cross-site scripting)
관련된 오류
"이 서버는 교차 사이트 스크립팅 공격에 취약합니다. 클라이언트 쪽(JavaScript) 데이터가 안전하고 유효성이 검사되었는지 확인합니다."
문제점
교차 사이트 스크립팅은 JavaScript를 사용하는 취약한 웹 애플리케이션에 웹 공격입니다. 악성 콘텐츠를 일반 XSS를 나타내는 HTML 대신에 DOM(Document Object Model) 내부의 위험한 싱크에 데이터를 작성하여 안전하지 않은 또는 신뢰할 수 없는 소스를 사용하여 JavaScript를 사용하는 사용자에게 전달합니다.
XSS 공격은 웹 애플리케이션에 입력 데이터가 유효성이 검사되지 않고 브라우저에 출력 데이터가 HTML에서 인코딩되지 않는 경우 발생합니다.
XSS 공격이 성공적이면 공격자는 다음을 할 수 있습니다.
계정을 하이재킹
웹 웜을 확산
브라우저 기록 및 클립보드 콘텐츠에 액세스
브라우저를 원격으로 제어
인트라넷 어플라이언스 및 애플리케이션을 스캔 및 악용합니다.
솔루션
웹 애플리케이션에 XSS를 식별 및 방지하려면 다음과 같이 합니다.
웹 애플리케이션에서 사용자 브라우저에서 입력한 데이터를 유효성 검사합니다.
웹 애플리케이션에서 사용자 브라우저에 모든 출력을 인코딩합니다.
사용자에게 클라이언트 쪽 스크립트를 사용 중지하는 기능을 제공합니다.