1. 공격 원리

사용자의 브라우저에서 의도하지 않은 악성 스크립트가 실행되도록 유도하는 취약점입니다.

2. 주요 피해 유형

• 세션 탈취: 사용자의 쿠키 정보를 가로채 계정 도용
• 피싱: 가짜 입력창을 띄워 개인정보 유도
• 데이터 변조: 웹 페이지의 내용을 임의로 수정

3. 방어 방법

• 입력값에 대한 검증 및 필터링 수행
• 출력 시 HTML 엔티티 인코딩 적용
• 보안 정책(CSP) 설정을 통해 스크립트 실행 제한