[D+67] Browser Security

 

D+67

-  Browser Security -

(XSS, CORS)

 

---

 

 

XSS

 

 

XSS란?

XSS는 정상적인 웹 앱에 악성 스크립트를 주입하여 개발자가 고려하지 않은 기능을 작동하게 하는 공격으로

서버가 아닌 클라이언트(사용자)가 서버를 신뢰하기 때문에 발생하는 이슈이다.

 

단순히 사용자를 골탕먹이기 위한 용도로 사용될 수도 있지만

만약 접속한 페이지가 은행사이트나 회원가입창과 같은 다소 민감한 정보를 가지고 있는 페이지라면

어쩌면 내 정보를 해커에게 순수히 줄 수도 있는 꽤나 무시무시한 공격이다.

 

XSS 방어 기법

현대에서의 브라우저 같은 경우는 일반적인 XSS 공격에 대한 기본적인 방어는 마련해두고 있는 상태이다.

 

하지만 그럼에도 해커들은 XSS 공격으로 언제 우리앞에 다가올지 모른다.

 

이를 예방하기 위해 나온 방법이 정규표현식(Regular Expression)이다.

 

정규 표현식은 문자열을 처리하는 방법 중의 하나로 특정한 조건의 문자를 '검색'하거나

'치환'하는 과정을 매우 간편하게 처리할 수 있도록 하는 수단이다.

 

정규표현식 말고도 XSS를 방어하는 기법은 많이 있으니 더욱 찾아봐야 할 것 같다.

 

 

---

CORS (Cross Origin Resource Sharing)

 

 

CORS 개념

여기 domain-a.com라는 사이트가 있다.

 

이 공간은 domain-a.com이라는 곳의 공간이기 때문에

domain-a.com의 웹 서버로 부터 정보를 받아온다고 할 수 있다.

 

그런데 만약에 domain-a.com공간에서 domain-b.com의 정보를 받아오고 싶다면 정보를 받아올 수 있을까?

 

이는 CORS를 통해 domain-a.com에서 특정 도메인은 들어올 수 있도록 허용해 준다.

 

즉, CORS는 한마디로 다른 Origin에 리소스를 요청할 수 있도록 허용한 구조이다.

 

CORS가 등장하게 된 배경

과거에는 기술적인 면과 보안적인 것을 고려해 도메인이 다를 경우엔 요청을 주고 받을 수 없도록 하였다.

 

하지만 요즘엔 웹 어플리케이션이 고도화가 되어 다른 어플리케이션에서 정보를 참고하거나 사용하는 등

정보를 주고받을 수 있게 하는 CORS가 등장하게 되었다. 

 

CORS 사용 1 : Simple Request

• 요청 메소드는 GET, HEAD, POST 중 하나여야 한다.

 

• Accept, Aceept-Language, Content-Language, Content-Type, DPR, Downlink, Save-Data, Viewport-Width, Width를 제외한 헤더를 사용하면 안된다.

 

• 만약 Content-Type를 사용하는 경우에는 application/x-www-form-urlencoded, multiplart/form-data, text/plain만 허용된다.

 

CORS 사용 2 : Preflight Request

• 요청 메소드는 PUT, DELETE, OPTIONS, PATCH를 사용해야 한다.

 

Preflight Request는 정식으로 메소드를 날리기 전에 OPTIONS 메소드를 통해 먼저 실제 요청이 전송하기에 안전한 곳인지 확인한 다음에 안전하다고 판단되면 실제 정식 메소드를 날리도록 한다.