XSS

클라이언트가 서버를 신뢰하기 때문에 발생하는 이슈

서버에 메세지 요청 -> 메세지 응답 -> 응답받은 메세지를 돔에 반영
이런 로직으로 진행했을텐데
서버에서 보내주는 메세지가 훼이크라면 ?

중간에 스크립트 인젝션을 받게 되면
클라이언트에서 그 코드가 실행되기때문에 보안 위협이 발생할 수 있음

브라우저에서 기본적으로 XSS공격을 막도록 설계되어 있으나, 보안에 완벽이란건 없음.

CSRF

서버가 클라이언트를 신뢰해서 발생하는 이슈

서버는 인증 정보를 가져오면 클라이언트를 신뢰한다.
사용자가 인증 정보를 가진 채로 해커의 링크를 누르면
해커는 인증 정보를 가로채서 서버에 요청을 보내버리게 된다.
(인증 정보만 가로채기)

서버가 해커인지 모르기 때문에
해커가 사용자의 권한을 갖고 마음대로 기능을 이용햘 수도 있다.

CORS

Cross-Origin Resource Sharing
다른 오리진 간 정보를 공유한다.