XSS2 [실무 웹 인증과 보안 완벽 가이드 #06] XSS와 CSRF 공격 원리와 완벽한 방어 기술작성 포인트 1. 내 브라우저에 불청객이 숨어있다: XSS (교차 사이트 스크립팅)XSS (Cross-Site Scripting)는 쉽게 말해 "해커가 우리 웹사이트에 교묘하게 악성 자바스크립트 코드를 심어놓고, 다른 유저가 그 코드를 실행하게 만드는 공격"입니다.가장 흔한 시나리오는 '자유게시판'입니다. 해커가 게시판에 글을 씁니다. 제목은 "강아지 사진 공유해요~" 인데, 본문에는 사진 대신 보이지 않는 HTML 코드를 적어놓습니다. 순진한 유저가 강아지 사진을 보려고 이 게시글을 클릭하는 순간! 브라우저는 저 스크립트 태그를 진짜 코드로 인식하고 실행해 버립니다. 유저의 브라우저 LocalStorage에 안전하게(?) 모셔두었던 피 같은 Access Token이 0.1초 만에 해커의 서버로 복사되어 날아갑니다.. 2026. 4. 11. [실무 웹 인증과 보안 완벽 가이드 #04] 프론트엔드 개발자의 최대 고민: JWT 토큰, 도대체 어디에 저장해야 할까? 안녕하세요! 지난 3편에서는 JWT의 치명적인 단점을 보완하기 위해 Access Token과 Refresh Token을 나누고, 백그라운드에서 조용히 토큰을 갱신하는 'Silent Refresh' 로직까지 완벽하게 설계해 보았습니다.백엔드 개발자가 API 세팅을 마치고 프론트엔드 개발자에게 말합니다. "자, 로그인 API 호출하시면 응답으로 토큰 2개 던져드릴게요. 알아서 잘 저장해서 쓰세요!"바로 이 순간부터 프론트엔드 개발자의 진짜 지옥(?)이 시작됩니다. 개발 커뮤니티나 오픈 채팅방에 가서 "선배님들, JWT 토큰 브라우저 어디에 저장하는 게 좋나요?" 라고 질문해 보세요. 순식간에 수십 개의 댓글이 달리며 "A가 맞다", "B가 맞다" 치열한 키보드 배틀이 벌어질 겁니다.도대체 토큰 저장 위치가 .. 2026. 4. 9. 이전 1 다음
