#웹 보안
CSP는 무엇을 막아주고, 무엇을 막아주지 않는가
Content Security Policy(CSP)가 실제로 막아주는 보안 위협과, CSP로는 해결할 수 없는 문제를 구분해 정리합니다. CSP의 역할과 한계를 책임 경계 관점에서 설명합니다.
CSRF와 클릭재킹은 어떻게 사용자를 속이는가
CSRF와 클릭재킹이 시스템을 직접 공격하지 않고, 사용자의 행동과 브라우저 동작을 어떻게 악용하는지 정리합니다. 두 공격이 성립하는 구조와 방어의 책임 경계를 설명합니다.
로컬스토리지, 세션 스토리지, 쿠키를 언제, 왜 사용하는가
브라우저 저장소인 로컬스토리지, 세션 스토리지, 쿠키의 차이를 접근 주체와 제어 모델 관점에서 정리합니다. 각 저장소가 어떤 보안 이슈와 연결되는지 학습 관점에서 설명합니다.
Next.js에서 보안 헤더를 설정한다는 것의 의미와 한계
Next.js에서 설정할 수 있는 보안 헤더들의 역할과 한계를 정리합니다. 보안 헤더가 무엇을 막아주지 않는지, 프레임워크와 개발자의 책임 경계를 중심으로 설명합니다.
React는 왜 기본적으로 XSS에 강할까?
React가 XSS에 강해 보이는 이유를 렌더링 방식 관점에서 설명하고, dangerouslySetInnerHTML, 속성 기반 주입, DOM 직접 조작 시 다시 취약해지는 지점을 정리합니다.
NEXT_PUBLIC_ 환경변수는 왜 env인데 클라이언트에 노출될까
NEXT_PUBLIC_ 환경변수가 왜 클라이언트 번들에 포함되는지, env는 언제 비밀이 되고 언제 설정값이 되는지 Next.js 빌드 구조와 보안 기준으로 정리합니다.
innerHTML을 사용할 때 조심해야 하는 이유
innerHTML이 왜 보안상 주의가 필요한 API인지, XSS 취약점과 안전한 대체 방법(textContent, sanitize)을 통해 정리합니다.
env는 보안인가? 많은 개발자들이 착각하는 이유
env는 보안 기능일까? 이 글에서는 env의 역할과 한계, NEXT_PUBLIC_ 환경 변수의 노출 특성, 프론트엔드에서 노출돼도 되는 값의 기준을 정리합니다.
XSS란 무엇인가: 브라우저에서 실행되는 공격
XSS(Cross-Site Scripting)는 서버가 아닌 사용자의 브라우저를 공격하는 웹 보안 취약점입니다. 이 글에서는 XSS의 개념, 발생 원인, 주요 유형과 위험성을 정리합니다.