<TIL 20.07.02> Browser Security

브라우저가 자바스크립트를 구동하기 때문에 브라우저는 보안 문제에 위협받고 있다고 한다.

 

 

 

XSS

클라이언트가 서버를 신뢰하기 때문에 발생하는 이슈이다. 웹사이트에 악의적 스크립트 삽입하여 쿠키 및 개인정보등을 특정 사이트로 유출하는 것으로 공격 대상이 사이트 이용자이다. 서버에는 영향을 주지 않지만 사이트가 변조될 위험은 있다.

브라우저에서 기본적인 XSS 공격은 막혀 있지만 100% 막혀있지 않다.

 

 

CSRF

Cross-Site Request Forgery의 줄임말로, 사이트 간에 요청을 위조했다고 볼 수 있다.

서버가 클라이언트를 신뢰해서 발생하는 이슈이다. 사용자가 자신의 의지와는 무관하게 공격자가 의도한 행위(수정, 삭제, 등록 등)를 특정 웹사이트에 요청하게 하는 공격을 말한다.

사용자가 인증 정보를 가진 채로 해커의 링크를 누르면, 해커는 인증정보를 가로채서 서버에 요청을 보내 버린다. 그때의 웹사이트는 인증정보를 가지고 오면 믿기 때문에 위조된 공격 명령이 믿을 수 있는 사용자로부터 발송된 것으로 판단하게 되어 공격에 노출된다.

 

CORS

Cross Origin Resource Sharing의 줄임말로, 브라우저간의 데이터를 주고받는 과정에서 도메인 이름이 서로 다른 사이트간에 API요청을 할 때, 공유를 설정하지 않았다면 CORS에러가 발생한다. CORS 란 웹브라우저에서 현재 사용자가 사용중인 사이트 이외에 동시에 다른 사이트에 접근하는 경우를 처리하기 위한 웹브라우저 표준기술이다. 웹브라우저 표준기술이기 때문에 브라우저가 이를 지원해야 한다.

(서로 다른 도메인 주소 사이에서 데이터(예를 들면 API요청, 응답)를 주고받을 수 있도록 하기 위한 정책)

 

 

 

 

이미지출처 : https://m1a0r2u4.tistory.com/1, https://medium.com/@baphemot/understanding-cors-18ad6b478e2b