1. XSS(사이트 간 스크립팅 : Cross-site Scripting)

웹사이트 관리자가 아닌 이가 웹 페이지에 악성 스크립트를 삽입할 수 있는 취약점으로 발생되는 공격

• 웹 애플리케이션이 사용자로부터 입력 받은 값을 제대로 검사하지 않고 사용할 경우 나타난다.
• 주로 여러 사용자가 보게 되는 전자 게시판에 악성 스크립트가 담긴 글을 올리는 형태로 이루어진다.
• 이 취약점으로 해커가 사용자의 정보(쿠키,세션 등)를 탈취하거나, 자동으로 비정상적인 기능을 수행하게 하거나 할 수 있다.
• 주로 다른 웹사이트와 정보를 교환하는 방식으로 작동한다.
• 정의 Cross Site Scripting 공격자가 상대방의 브라우저에 Script를 실행할 수 있게 하여 사용자의 세션을 가로채거나 웹 사이트 변조, 악의적 컨텐츠 삽입, 피싱 공격을 하는 것

2. 대응방안

1. script문장에 존재한 특수문자를 메타캐릭터로 변환시킨다.
2. Contents 구문 사용
3. Replace 구문 사용

let str ='hello world';

str.replace('world','john'); // hello john

1. 중요한 정보를 쿠키에 저장하지 않는 것
2. 정규표현식을 사용한 태그 입력 필터 설치
3. HTML 포맷의 입력 제한