XSS (크로스 사이트 스크립팅)

핵심 개념

XSS는 악성 스크립트를 다른 사용자 브라우저에서 실행시키는 공격입니다. Stored, Reflected, DOM XSS 3가지 유형을 이해합니다.

코드 분석

SECURITY📋 코드 (1줄)

XSS 공격공격 페이로드:<script>document.cookie</script><img src=x onerror="alert(1)">3가지 유형:Stored XSS&nbsp;&nbsp;&nbsp;← DB에 저장됨Reflected XSS ← URL에 포함DOM XSS&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;← JS 처리 중 발생방어:1. HTML 출력 시 인코딩&lt; &gt; &amp; "2. CSP 헤더 설정Content-Security-Policy3. HttpOnly 쿠키→ JS로 쿠키 접근 불가React는 기본적으로 XSS 방어dangerouslySetInnerHTML 주의!

AI 프롬프트

🤖 AI에게 잘 물어보는 법 — 모델·전략별 프롬프트

Claude

무료: Sonnet 4.6 / Pro $20/mo: Opus 4.6

이 'XSS (크로스 사이트 스크립팅)' 코드에서
OWASP Top 10 관점의 보안 취약점을 찾고
안전한 코드로 수정해줘.

ChatGPT

무료: GPT-5.5 / Plus $20/mo: GPT-5.5 Pro

'XSS (크로스 사이트 스크립팅)' 공격 방어 코드를
단계별로 구현해줘.
실전 페이로드 예시도 포함해서.

Gemini

무료: 2.5 Flash / Pro $19.99/mo: 3.1 Pro

이 웹 앱의 'XSS (크로스 사이트 스크립팅)' 관련 보안 헤더·인증 로직을
전체 분석해서 취약점·우회 가능 케이스·로그 누락을
우선순위 리포트로 만들어줘.

Grok

무료: Grok 4.1 / SuperGrok $30/mo

'XSS (크로스 사이트 스크립팅)' 취약점이 실제 해킹 사건·CVE에서
얼마나 자주 발견되는지 2026년 기준
솔직한 데이터로 알려줘.

⭐ 이것만 기억하세요

XSS (크로스 사이트 스크립팅)는 이 3가지만 확실히 잡으세요

1.사용자 입력을 이스케이프 없이 HTML에 출력하면 공격자가 다른 사용자의 쿠키·세션을 탈취합니다

2.출력 시 HTML 이스케이프, CSP 헤더 설정, httpOnly 쿠키가 XSS 방어의 3대 축입니다

3.다음 챕터에서 사용자 모르게 요청을 위조하는 CSRF를 배웁니다

💬 이 챕터 질문 보기

SECURITY · CH.11 — 질문하거나 답변을 확인하세요

→

진행도 11 / 84

← 커리큘럼으로 ← 목록으로 (화이트햇 보안)