Section 28: Security - Writing Secure Code

JavaScript - The Complete Guide 2022

Section 28: Security - Writing Secure Code

olivia_yj 2022. 11. 8. 18:35

The goals

💪🏻Potential Security Holes

✌🏻Protecting Your Code

👍🏻CORS, CSRF, XSS Attacks

👊🏻npm Packages

Quiz

질문 1:

클라이언트 측(브라우저 측) 자바스크립트 코드에 저장해서는 안 되는 것은 무엇일까요?

일부 API 설정에서 접근을 제어할 수 있는 API용 API 키입니다.
데이터베이스에 대한 연결을 열기 위한 데이터베이스 자격 증명입니다.
백엔드 경로의 URL입니다.

질문 2:

잠재적인 XSS 시나리오는 무엇일까요?

textContent를 통해 사용자 생성 콘텐츠(예: <input> 필드에 사용자가 입력한 것)를 출력합니다.
alert()를 통해 사용자 생성 콘텐츠(예: <input> 필드에 사용자가 입력한 것)를 출력합니다.
innerHTML을 통해 사용자 생성 콘텐츠(예: <input> 필드에 사용자가 입력한 것)를 출력합니다.

질문 3:

공격자가 웹사이트에서 (사이트를 방문하는 모든 사람에 대해) 악성 코드를 어떻게 실행할 수 있을까요?

공격자는 브라우저 개발자 도구 콘솔에서 악성 코드를 작성하고 실행할 수 있습니다.
공격자는 개발자 도구를 사용하여 DOM을 편집하고 실행될<script> 태그를 추가할 수 있습니다.
공격자가 스크립트를 준비해서 페이지 입력에 입력하면 데이터베이스나 URL에 저장될 수 있습니다.

Sources

https://www.npmjs.com/package/sanitize-html

sanitize-html

Clean up user-submitted HTML, preserving allowlisted elements and allowlisted attributes on a per-element basis. Latest version: 2.7.3, last published: 12 days ago. Start using sanitize-html in your project by running `npm i sanitize-html`. There are 1421