Web
-
쿠키 사용 시 CSRF 취약점 대응을 위한 설명!Web 2025. 4. 25. 17:18
🍪 웹 개발자가 꼭 알아야 할 쿠키(Cookie) 속성 정리웹 보안과 인증에서 쿠키는 매우 중요한 역할을 합니다. 특히 SameSite 속성은 CSRF 공격을 방어하기 위해 꼭 알아야 하는 요소입니다. 이 글에서는 웹 개발자가 실무에서 자주 다루는 쿠키 속성들을 정리해보았습니다.✅ 쿠키 속성 총정리 속성설명 Name=Value쿠키의 이름과 값 Domain쿠키가 유효한 도메인 Path쿠키가 전송될 URL 경로 Expires / Max-Age쿠키의 만료 시간 설정 SecureHTTPS에서만 쿠키를 전송 HttpOnlyJavaScript로 쿠키 접근 차단 (XSS 방지) SameSiteCross-site 요청 시 쿠키 전송 여부 결정 (CSRF 방지)🔐 SameSite 속성 설명SameSit..
-
CSRF 취약점과 방어 방법에 대해 알아보자!Web 2025. 4. 25. 17:15
✅ CSRF는 언제 발생하고, RESTful API에서는 안전한가?CSRF(Cross-Site Request Forgery)는 웹 보안에서 자주 언급되는 취약점입니다. 많은 개발자들이 궁금해하는 부분 중 하나가 "RESTful API는 CSRF에 안전한가?"입니다. 이 글에서는 그에 대한 정확한 설명과 주의할 점들을 정리해봅니다.🔍 CSRF는 어떤 상황에서 발생하나요?CSRF는 브라우저가 인증 정보를 자동으로 서버에 전송할 때 발생합니다. 즉, 쿠키 기반 세션 인증 방식이 대표적인 예입니다. 조건설명 쿠키 기반 세션 인증브라우저가 요청 시 쿠키를 자동 전송 서버가 세션 유지상태(stateful) 기반 인증 로그인 상태 유지 중공격자가 위조 요청을 보낼 수 있음✅ REST API는 CSRF에 안전..
-
무료 WYSIWYG(위지윅) 에디터 알아보자!Web 2025. 4. 25. 16:49
✅ 무료로 사용할 수 있는 WYSIWYG 에디터 추천웹 프로젝트나 블로그에서 사용할 수 있는 무료 WYSIWYG 에디터를 소개합니다. HTML 변환은 물론, 보안과 확장성도 고려해 선택해 보세요.1. Toast UI Editor 마크다운 기반의 에디터 React, Vue, JS 지원 보안 필터링 내장 GitHub 바로가기2. TinyMCE 전통적인 HTML WYSIWYG 에디터 플러그인 확장 쉬움 기본 무료, 상용 플랜 있음 공식 사이트3. Quill 빠르고 가벼운 에디터 오픈소스 / 커스터마이징 용이 공식 사이트4. CKEditor 5 완성도 높은 UI 마크다운 & HTML 지원 무료 플랜 + 상용 플랜 공식 사이트자신의 프로젝트에 맞는 에디터를 선택하고, XSS 필터링 기능..
-
위지윅(WYSIWYG) 에디터와 XSS 취약점에 대해 알아보자Web 2025. 4. 25. 16:21
✅ WYSIWYG 에디터와 XSS 취약점, 그리고 안전하게 사용하는 방법웹 개발에서 위지윅(WYSIWYG: What You See Is What You Get) 에디터는 텍스트를 HTML 형태로 손쉽게 작성할 수 있어 매우 유용합니다. 하지만 이 편리함 뒤에는 XSS(Cross-Site Scripting) 취약점이라는 보안 위협이 숨어 있습니다. 이번 글에서는 왜 이러한 취약점이 생기는지, 그리고 이를 어떻게 방지할 수 있는지에 대해 알아봅니다.🔍 1. 왜 XSS 취약점이 발생하나요? (예시 포함)WYSIWYG 에디터는 사용자가 입력한 내용을 HTML로 변환해서 저장합니다. 이 과정에서 악성 스크립트가 필터링되지 않으면, 브라우저가 이를 실행하게 되어 XSS가 발생합니다.📌 예시 상황이 코드가 필터링..
-
TCP 3-Handshake 에 대해 알아보자!Web 2025. 4. 22. 13:50
TCP 3-Way Handshake란? TCP(Transmission Control Protocol)는 신뢰성 있는 데이터 전송을 보장하는 연결 지향적인 프로토콜입니다. TCP 연결을 설정하는 과정은 3-Way Handshake라는 3단계 과정으로 이루어집니다. 이 과정은 두 컴퓨터 간의 연결을 확립하고, 데이터가 안전하게 전송될 수 있도록 준비하는 중요한 단계입니다.1. 3-Way Handshake란? TCP 3-Way Handshake는 클라이언트와 서버 간의 신뢰성 있는 연결을 설정하는 과정으로, 총 세 단계로 이루어집니다. 이 과정에서 서로 간에 연결 요청, 승인, 확인 메시지를 주고받습니다.2. 3-Way Handshake 단계 Step 1: SYN (Synchronize) 요청 ..
-
HTTPS 통신시 암호화 범위에 대해 알아보자!Web 2025. 4. 22. 13:48
HTTPS 통신에서 암호화되는 범위는 어디까지일까? 웹사이트에 접속할 때 주소창에 https://가 보인다면, 해당 통신은 TLS(SSL) 기반으로 암호화되고 있다는 뜻입니다. 그렇다면 HTTPS는 실제로 어떤 정보를 암호화하고, 어떤 정보는 암호화되지 않을까요? 이 글에서 간단히 정리해보겠습니다.1. HTTPS는 어떻게 동작할까? HTTPS는 HTTP + TLS 조합으로, TLS(Transport Layer Security) 프로토콜이 중간자 공격이나 패킷 스니핑으로부터 통신을 보호합니다. 이때 HTTP의 내용 전체가 TLS를 통해 암호화되어 전송됩니다.2. 암호화되는 정보 HTTP Header: User-Agent, Authorization, Cookie 등 포함 HTTP Body: POS..
-
JWT(Json Web Token)에 대해 알아보자!Web 2025. 4. 22. 13:42
JWT(Json Web Token)의 장단점과 사용 시 주의할 점 JWT(Json Web Token)는 웹 인증 및 정보 전달에 자주 사용되는 토큰 기반 인증 방식입니다. 특히 무상태(Stateless) 인증 방식으로 백엔드 서버의 부담을 줄여주는 장점이 있어, 많은 현대 웹 애플리케이션에서 사용되고 있습니다.1. JWT란? JWT는 Header.Payload.Signature 구조를 가진 문자열로, 주로 사용자의 인증 정보를 담아 서버-클라이언트 간 전달하는 데 사용됩니다.eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VyX2lkIjoxMjMsInJvbGUiOiJ1c2VyIn0.dBjftJeZ4CVP-mB92K27uhbUJU1p1r_wW1gFWFOEjXk Heade..
-
OSI 7계층과 TCP/IP 4계층의 차이?Web 2025. 4. 22. 13:26
OSI 7계층과 TCP/IP 4계층 모델의 이해와 차이점 컴퓨터 네트워크를 이해하기 위해 가장 기초적이면서도 중요한 개념이 바로 계층 모델입니다. 네트워크 통신을 계층화해서 설명한 대표적인 모델로는 OSI 7계층과 TCP/IP 4계층이 있습니다. 이 글에서는 두 모델이 무엇인지, 각각의 계층은 어떤 역할을 하는지, 그리고 어떤 차이가 있는지 정리해보겠습니다.1. OSI 7계층이란? OSI(Open Systems Interconnection) 7계층 모델은 국제표준화기구(ISO)에서 제정한 네트워크 통신 모델로, 통신 과정을 7단계로 나누어 설명합니다. 1계층 - 물리 계층: 전기적 신호, 케이블, 커넥터 등 물리적 전송 2계층 - 데이터 링크 계층: MAC 주소 기반 프레임 전송, 오류 감지 ..