문제
XSS(Cross-Site Scripting) 공격이 발생하는 원인과 웹 개발자가 적용할 수 있는 기본적인 방어 방법 2가지를 서술하시오.
정답
XSS 공격은 웹 애플리케이션이 사용자 입력값을 적절히 검증하지 않아 악성 스크립트가 웹 페이지에 삽입되어 다른 사용자의 브라우저에서 실행되는 공격이다. 방어 방법으로는 1) 입력값 필터링 및 출력 시 HTML 인코딩으로 특수문자를 안전한 형태로 변환, 2) CSP(Content Security Policy) 헤더 설정으로 스크립트 실행 정책을 제한하는 방법이 있다.
사용자 입력악성 스크립트HTML 인코딩CSP입력값 필터링출력 인코딩Content Security Policy
해설
XSS는 OWASP Top 10에 포함되는 대표적인 웹 취약점이다. 공격자가 입력 필드에 <script> 태그 등을 삽입하면, 서버가 이를 그대로 출력할 때 브라우저에서 스크립트로 실행된다. HTML 인코딩은 < > " ' & 등의 특수문자를 < > 등으로 변환하여 스크립트 실행을 방지하며, CSP는 HTTP 헤더로 허용된 스크립트 소스만 실행하도록 브라우저에 지시한다.