웹 보안 ✅ HTTPS, CORS, CSRF, XSS

 

 

웹 보안은 단순한 기술이 아니라 서비스 신뢰성과 사용자 보호의 핵심입니다.
특히 실무에서 자주 접하는 HTTPS, CORS, CSRF, XSS는 반드시 이해해야 하는 개념입니다.

---

🟢 1. HTTPS (보안 프로토콜)

• HTTP + SSL/TLS 암호화
• 데이터 전송 중 도청/변조 방지
• SEO에도 유리 (구글은 HTTPS 사이트를 우선 랭킹)

📌 실무 팁

• Let’s Encrypt 무료 인증서 활용
• 서버/클라우드 배포 시 기본적으로 HTTPS 적용

---

🔵 2. CORS (Cross-Origin Resource Sharing)

• 브라우저의 보안 정책: 다른 도메인 요청 차단
• 예: https://myapp.com → https://api.other.com 요청 시 제한

📌 해결 방법

• 서버에서 Access-Control-Allow-Origin 헤더 설정
• 프록시 서버 활용

---

🟡 3. CSRF (Cross-Site Request Forgery)

• 사용자의 인증된 세션을 악용한 공격
• 예: 사용자가 로그인된 상태에서 악성 사이트가 요청을 전송

📌 방어 방법

• CSRF 토큰 사용
• SameSite Cookie 옵션
• 중요한 요청은 POST + 인증 토큰 검증

---

🔴 4. XSS (Cross-Site Scripting)

• 악성 스크립트를 삽입해 실행시키는 공격
• 예: 댓글에 <script>alert("해킹")</script> 삽입

📌 방어 방법

• 사용자 입력 출력 시 반드시 이스케이프 처리
• CSP(Content Security Policy) 적용
• React/Vue 같은 프레임워크 사용 시 기본적으로 방어됨 (단, dangerouslySetInnerHTML 주의)

---

⚡ 실무 보안 체크리스트

• ✅ HTTPS 적용 (SSL 인증서 필수)
• ✅ CORS 정책 점검
• ✅ CSRF 토큰 + SameSite Cookie 적용
• ✅ 모든 입력값 검증 (XSS 방어)

---

📝 마무리 정리

• HTTPS: 암호화된 통신
• CORS: 브라우저 보안 정책
• CSRF: 사용자의 세션 탈취 공격
• XSS: 악성 스크립트 삽입 공격

👉 웹 보안은 개발 초기에 반드시 설계해야 하며, 사후 보완은 비용이 훨씬 큽니다.