XSS
XSS란?
웹 사이트에 악성 스크립트를 삽입하여 사용자의 정보(쿠키, 세션 등)를 탈취하거나, 자동으로 비정상적인 기능을 수행하게 할 수 있다. 주로 다른 웹사이트와 정보를 교환하는 식으로 작동하므로 사이트 간 스크립팅이라고 한다.
- 웹 사이트가 입력받은 값을 검증하지 않고 사용할 경우 발생
1. 테스트 예시
입력 값에 ["> <script>alert("XSS 테스트")</script>] 삽입
2. 해결 방안
2-1) NextJS 해결 방안
next.config.js 파일의 headers에 해당 값을 추가
해당 값을 추가하게 되면 XSS 공격을 XSS공격을 감지했을 때 페이지 로드를 중지한다.
* XSS 해결 방안 공식문서
https://nextjs.org/docs/advanced-features/security-headers
module.exports = {
async headers() {
return [
{
key: 'X-XSS-Protection',
value: '1; mode=block'
}
]
},
}
반응형
'React' 카테고리의 다른 글
| [카카오맵 API] React TypeScript에서 카카오맵 불러오기 (0) | 2023.04.10 |
|---|---|
| [카카오 주소 API] TypeScript에서 카카오(다음) 주소 API 사용 방법 (0) | 2023.03.29 |
| [React] React Query의 useMutation를 사용하여 서버 데이터 변경하는 방법 (0) | 2023.03.07 |
| [NextJS] Firebase Storage 파일 업로드/다운로드 방법 (0) | 2023.03.01 |
| [Naver 뉴스 API] NextJS에서 네이버 뉴스 데이터 수집 방법 (0) | 2023.01.19 |