CSP(Content Security Policy)는 웹 보안 기능 중 하나로, 웹사이트에서 실행될 수 있는 콘텐츠의 출처를 명시적으로 제한하여 악성 스크립트 실행(XSS)을 방지하는 정책이다.쉽게 말하면, "어디서 온 콘텐츠만 허용할지"를 웹 브라우저에게 미리 알려주는 보안 지침이다. 필요 이유웹사이트가 XSS(크로스 사이트 스크립팅) 공격을 받으면 악성 JavaScript가 삽입되어, 사용자 쿠키 탈취, 악성 행위 수행, 세션 탈취 등이 일어날 수 있다.CSP는 이런 스크립트 실행을 "출처 기준으로 필터링" 하여 예방한다. 주요 지시어디렉티브설명예시default-src기본 출처 정책'self' (현재 도메인만 허용)script-src자바스크립트의 출처 제한'self' https://trusted.cd..

CSRF(Cross-Site Request Forgery, 사이트 간 요청 위조)는 사용자가 자신의 의지와 무관하게 원하지 않는 요청을 보내도록 만드는 공격 기법이다.간단하게 말하면, 사용자가 로그인한 상태를 악용해서 악성 사이트가 사용자의 권한으로 공격 요청을 보내게끔 유도하는 방식이다.또한 기본적으로 쿠키를 사용하지 않는다면 CSRF 공격을 대비할 필요는 없다. 예시사용자가 A사이트(예: 은행)에 로그인하고, 세션 쿠키가 브라우저에 저장되어 있음.사용자가 로그아웃하지 않은 상태에서 다른 악성 사이트 B를 방문함.B 사이트는 와 같은 요청을 자동으로 보냄.브라우저는 bank.com에 이미 로그인 되어 있으므로, 해당 요청에 세션 쿠키를 자동으로 붙여 전송함.결과적으로 사용자는 모르는 사이에 10,00..

SOP(Same-Origin Policy)SOP 개념SOP(동일 출처 정책, Same-Origin Policy)은 웹 보안의 핵심 원칙 중 하나로, 서로 다른 출처(origin)의 리소스 간 접근을 제한하는 정책이다.이는 브라우저에서 자동으로 적용되는 보안 메커니즘이며, 사용자 정보를 보호하고 악의적인 스크립트의 실행을 막기 위해 고안되었다.동일 출처는 세 가지 요소가 모두 같아야 한다.프로토콜(http/https)도메인(example.com)포트번호(80/443 등)https://example.comhttp://example.com프로토콜 다름https://api.example.comhttps://example.com호스트(도메인) 다름https://example.com:443https://exampl..

JWT는 JSON 포맷으로 정보를 저장하고 이를 서명(Signature) 하여 위·변조를 방지하는 토큰이다.서버가 클라이언트를 인증한 후, 인증 정보를 담은 토큰을 발급하여 클라이언트에게 전달하고, 이후 요청마다 이 토큰을 함께 보내도록 한다.stateless하다는 특징을 가진다. JWT의 구조JWT는 총 3개의 부분으로 구성되며, 각 부분은 .으로 구분된다.[헤더].[페이로드].[서명]헤더 (Header)토큰의 타입과 해싱 알고리즘 정보를 담고 있다.예: alg: HS256, typ: JWT 페이로드 (Payload)실제 인증 정보나 기타 데이터(클레임)가 담기는 부분이다.예: sub: 사용자ID, exp: 만료시간, role: ADMIN※ 이 부분은 암호화되어 있지 않기 때문에 노출될 수 있으며, 민..