XSS란?

XSS(Cross Site Scripting)
웹 브라우저에서 사용자가 입력 할수 있는 input태그 등에 악의적인 script를 작성하여 해당 contents를 이용하는 다른 이용자의 개인정보 및 쿠키정보 탈취, 악성코드 감염, 웹 페이지 변조등의 공격을 한다.

보안이 약한 웹 어플리케이션에 대한 웹 기반 공격
공격의 희생자는 어플리케이션이 아닌 user
XSS공격에서 해로운 컨텐츠는 javascript를 활용하여 전달 됨

XSS공격은 어떻게 하는가?

XSS attacks work by unexpectedly running JavaScript that does things like scrape cookies or grab data from localStorage and send it off to a remote location.
In the example below, since x is an invalid image source, the onerror event is triggered and opens up an alert. In a real XSS attack, it would do something more malicious.
참고 : https://gomakethings.com/how-to-sanitize-third-party-content-with-vanilla-js-to-prevent-cross-site-scripting-xss-attacks/

아래 그림은 XSS공격이 어떻게 이루어 지는지를 예시를 보여주는 것이다.
input태그 안에 js<script> alert('메롱') </script>를 주입하고 submit으로 서버에 저장을 하게 되면 서버는 그대로의 코드를 서버로 저장하고 다른 유저가 해당
글을 읽게 되면 script가 실행되어 사용자 화면에 alert명령이 실행된다.