인프런 커뮤니티 질문&답변

안녕하세요, 젊음의돌님.
남겨주신 질문에 대한 답변 드립니다.

우선 XSS 보안 취약점을 보완할 수 있는 방법은 [파이프(Pipe)를 활용하는 방법, 라이브러리를 활용하는 방법, 가장 기본적으로 보완할 수 있는 방법]이렇게 크게 3가지가 있습니다.

(1) Pipe
Pipe는 공식문서에 아래와 같이 작성되어 있습니다.

pipes operate on the arguments being processed by a controller route handler

파이프는 컨트롤러에 요청이 동작하기 전에 동작하는 기능입니다.
즉, 컨트롤러에서 XSS 보안 문제를 일으킬 수 있는 사용자의 입력값을 Pipe에서 필터링 등을 통해 XSS 취약점을 보완할 수 있습니다. 더 자세한 내용은 공식문서 참고바랍니다.

(2) 라이브러리 활용
Node 생태계에 존재하는 여럿 보안 취약점들을 대비해 많은 라이브러리들이 개발되고 있습니다. 그 중에서 helmet이라는 라이브러리를 추천드립니다. helmet은 사용 방법이 아주 쉬워서 개발하고 계시는 서비스에 적용하기에 부담스럽지 않으실 것 같습니다. helmet의 자세한 설명은 공식문서 참고바랍니다.

(3) 가장 기본적인 보완할 수 있는 방법
사용자의 입력값을 먼저 필터링 하여 보안 취약점을 보완할 수 있는 방법입니다.

{사용자의 입력값}.replace(
      /\<|\>|\"|\'|\%|\;|\(|\)|\&|\+|\-/g,
      "",
    )

위 코드와 같이 사용자의 입력값에 XSS를 발생시킬 수 있는 부분을 먼저 공백으로 치환하여 보완할 수 있는 방법이 있습니다. 가장 기본적인 방법인만큼, 이를 뚫을 수 있는 방법도 많기에 추천드리지는 않습니다.

답변에 대해 더 궁금하신 사항이 있으시다면, 새로운 질문글로 작성해주시면 답변해 드리도록 하겠습니다.
감사합니다 🦦