문제
크로스 사이트 스크립팅(XSS) 공격의 원리를 설명하고, 이를 방어하기 위한 대응 방안을 3가지 이상 서술하시오.
정답
XSS는 웹 애플리케이션이 사용자 입력을 적절히 검증하지 않아 공격자가 악성 스크립트를 삽입하여 다른 사용자의 브라우저에서 실행시키는 공격이다. 대응으로는 1) 입력값 검증 및 출력값 인코딩(HTML Entity 변환), 2) CSP(Content Security Policy) 헤더 설정으로 스크립트 실행 제한, 3) HttpOnly 쿠키 속성으로 JavaScript 접근 차단, 4) 웹 방화벽(WAF) 도입 등이 있다.
스크립트 삽입입력값 검증출력값 인코딩CSPHttpOnly
해설
XSS는 OWASP Top 10의 주요 웹 취약점으로, 사용자 입력을 신뢰하지 않고 적절한 검증과 인코딩을 통해 방어해야 한다. CSP는 브라우저 수준에서 스크립트 실행을 제어하는 현대적 방어 기법이며, HttpOnly 쿠키는 세션 탈취를 방지하는 중요한 설정이다.