Same-Origin Policy(SOP)는 브라우저가 다른 출처의 응답을 읽지 못하도록 막는 정책입니다. https://app.example.com 에서 실행된 JavaScript가 https://api.example.com 의 응답 본문을 읽으려 하면, 브라우저가 이를 차단합니다.
카테고리
Security
총 5편의 글
📡 Security RSS 피드공급망 공격(supply chain attack)은 공격자가 최종 서비스를 직접 겨냥하지 않고, 그 서비스가 신뢰하는 외부 의존성을 오염시키는 방식입니다. 웹 생태계에서 이 공격면은 세 가지로 나뉩니다. 첫째는 CDN에서 제공하는 서드파티 스크립트, 둘째는 npm 레지스트리를 통해 설치하는 패키지, 셋째는 빌드 도구나 CI 환경의 플러그인입니다.
Implicit Flow는 authorization endpoint가 access token을 redirect uri의 URL fragment에 직접 담아 돌려주는 방식입니다. 편의를 위해 authorization code 교환 단계를 생략했지만, 이 편의가 여러 공격 경로를 열어놓았습니다.
JWT는 점( . )으로 구분된 세 개의 Base64url 인코딩 문자열입니다. eyJhbGciOiJSUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiJ1c2VyXzEyMyIsImV4cCI6MTc0OTEyMzQ1Nn0.SIGNATURE 형식입니다.
웹 애플리케이션에서 인증은 자주 단순화됩니다. access token을 어디에 저장할지, localStorage가 편한지, cookie가 안전한지 같은 질문으로 시작합니다. 하지만 실제 보안은 저장 위치 하나로 결정되지 않습니다. XSS, CSRF, 토큰 탈취, 세션 고정, refresh token 재사용, 로그아웃 전파까지 함께 설계해야 합니다.