XSS를 방지하기 위해 NESTJS에서 설정할 수 있는 것들이 있을까요?
599
작성한 질문수 4
현재 개발 중인 서비스가 XSS 공격에 취약하여 이를 방지하기 위한 NESTJS에서 할 수 있는 부분이 있을까 궁금합니다.
답변 1
1
안녕하세요, 젊음의돌님.
남겨주신 질문에 대한 답변 드립니다.
우선 XSS 보안 취약점을 보완할 수 있는 방법은 [파이프(Pipe)를 활용하는 방법, 라이브러리를 활용하는 방법, 가장 기본적으로 보완할 수 있는 방법]이렇게 크게 3가지가 있습니다.
(1) Pipe
Pipe는 공식문서에 아래와 같이 작성되어 있습니다.
pipes operate on the arguments being processed by a controller route handler
파이프는 컨트롤러에 요청이 동작하기 전에 동작하는 기능입니다.
즉, 컨트롤러에서 XSS 보안 문제를 일으킬 수 있는 사용자의 입력값을 Pipe에서 필터링 등을 통해 XSS 취약점을 보완할 수 있습니다. 더 자세한 내용은 공식문서 참고바랍니다.
(2) 라이브러리 활용
Node 생태계에 존재하는 여럿 보안 취약점들을 대비해 많은 라이브러리들이 개발되고 있습니다. 그 중에서 helmet이라는 라이브러리를 추천드립니다. helmet은 사용 방법이 아주 쉬워서 개발하고 계시는 서비스에 적용하기에 부담스럽지 않으실 것 같습니다. helmet의 자세한 설명은 공식문서 참고바랍니다.
(3) 가장 기본적인 보완할 수 있는 방법
사용자의 입력값을 먼저 필터링 하여 보안 취약점을 보완할 수 있는 방법입니다.
{사용자의 입력값}.replace(
/\<|\>|\"|\'|\%|\;|\(|\)|\&|\+|\-/g,
"",
)위 코드와 같이 사용자의 입력값에 XSS를 발생시킬 수 있는 부분을 먼저 공백으로 치환하여 보완할 수 있는 방법이 있습니다. 가장 기본적인 방법인만큼, 이를 뚫을 수 있는 방법도 많기에 추천드리지는 않습니다.
답변에 대해 더 궁금하신 사항이 있으시다면, 새로운 질문글로 작성해주시면 답변해 드리도록 하겠습니다.
감사합니다 🦦
프로젝트 환경 세팅할 때 최신 노드 버젼을 사용하시는 분들은 참고하셔도 좋을 것 같아요~
2
103
1
DTO에 대한 질문
1
99
2
백엔드 MVC에서 View의 역할은 무엇인가요?
1
112
2
추가 업데이트 관련 건
0
106
2
nest js 버전문제
0
97
2
mongdb 스키마 공식 문서와 형태가 다른 이유 궁금합니다.
0
113
1
라인 끝에 에러 표시(eslint) 때문에 구글 찾아 보니.
0
84
1
전체 고양이 조회 라우터 중 error.message 오류
0
82
1
캡슐화 추가 설명 중 단일책임원칙 관련 질문
0
115
0
42강 고양이끼리 소통 댓글 구현 중 Schema hasn't been registered for model 'comments' 에러 해결
0
86
1
채팅 이슈
0
140
1
모듈이 더 이상 지원하지 않는답니다
0
216
1
오류가 있습니다
0
114
1
import 에서 오류가 납니다
0
132
1
이런 오류가 나옵니다
0
110
1
에러가 발생합니다
0
117
1
프론트 에러 뜨는데 수정 안해주시나요
0
169
1
emit() broadcast.emit() 질문있습니다
0
109
1
서버연결이 안됩니다.
1
408
1
[PM2][ERROR] Command not found
0
530
1
S3에 업로드까지는 성공했는데 사진이 나오지 않습니다.
0
256
1
error_code : Property 'user' does not exist on type 'Request<ParamsDictionary, any, any, ParsedQs, Record<string, any>>'.ts(2339)
0
608
1
jwt를 따로 연습하고 있는데 env를 못읽는 것 같습니다.
0
331
2
Ec2로 안하시는 이유가 있을까요?
0
346
1