브라우져의 보안

브라우져는 위협 받고있다.
그 이유는 바로 자바스크립트를 구동하기 때문!

브라우져에서 자바스크립트로 가능한것들
1. ajax call을해서 api를 호출할수 있다.
2. 다이나믹하게 DOM을 제어할수 있다.
3.인증 정보를 브라우저에 저장 할수 있다.
4. 인증정보를 불러올수도 있다.

위협은 어떤종류의 위협?
XSS / CSRF

1. XSS
   =>클라이언트가 서버를 신뢰하기 때문에 발생하는 이슈
   클라이언트가 서버로부터 받는 데이터는 정상 데이터겠거니 할때
   서버쪽의 문제로 인해 서버쪽에서 클라이언트쪽으로 보내지는 데이터쪽에 불순한 의도를 가진 코드를 포함해서 받아질수있음.

2. CSRF
   => 서버는 인증정보(예:인증서)를 가지고 오면 접근하는 자를 무조건 믿음
   방식: 사용자는 인증 정보를 가진 체로 해커의 링크를 누른다면
   해커는 인증정보를 가로체서 서버에 요청을 보내 버리거나,
   그 인증정보를 이용한다면 그 사용자의 정보를 빼낼수 있음.

=> 이 두가지의 위협들을 어떻게 방어 할지?
최근의 브라우져들은 기본적인 XSS 공격으로부터 보호되어 있다.

3. CORS(Cross-Origin Resource Sharing?
   Access-Control-Allow-Origin?)
   => 유저들을 보호하기위한 정책이 기본이다.
   브라우져의 웹어플리케이션 사용자를 보호하기위한 브라우져의 자발적인 보안정책이다.

• CORS를 요청하는것들
  XMLHttpRequest / FetchAPI 등