입력 검증 (Input Validation)

웹 애플리케이션에서 입력 검증은 보안과 안정성을 유지하는 데 필수적인 요소이다. 사용자로부터 받은 데이터를 신뢰하지 않고 검증하는 과정은 SQL 인젝션, XSS, CSRF와 같은 다양한 공격을 방어하는 첫 번째 방어선이다. 이번에는 입력 검증의 중요성과 기본 원칙, 그리고 자바스크립트를 활용한 구체적인 구현 방법을 살펴보자.

입력 검증을 제대로 수행하면 애플리케이션의 보안이 크게 향상된다.

입력 검증의 중요성

사용자 입력을 검증하지 않으면 악의적인 데이터가 시스템에 침투할 수 있다. 예를 들어, SQL 인젝션은 사용자가 입력한 데이터를 SQL 쿼리에 직접 삽입할 때 발생한다. 다음과 같은 코드가 있다고 가정한다:

const userInput = req.body.username;
const query = `SELECT * FROM users WHERE username = '${userInput}'`;

만약 사용자가 ' OR '1'='1 같은 값을 입력하면, 쿼리가 변조되어 모든 사용자 데이터를 반환할 수 있다. 이처럼 검증되지 않은 입력은 보안 취약점을 초래한다.

1. 기본 원칙

입력 검증의 기본 원칙은 다음과 같다:

• 모든 입력을 신뢰하지 않는다: 사용자, 외부 API, 심지어 내부 시스템에서 오는 데이터도 검증한다.
• 화이트리스트 접근법: 허용된 데이터 형식과 값을 명시적으로 정의한다.
• 블랙리스트는 피한다: 악의적인 패턴을 차단하는 방식은 우회될 수 있다.
• 클라이언트와 서버 모두에서 검증한다: 클라이언트 검증은 사용자 경험을 개선하고, 서버 검증은 보안을 강화한다.

이 원칙을 지키면 보안 위협을 줄일 수 있다.

2. 클라이언트 측 검증

클라이언트 측에서 자바스크립트를 사용해 입력을 검증할 수 있다. 예를 들어, 이메일 형식 검증은 다음과 같다:

function validateEmail(email) {
    const re = /^[a-zA-Z0-9._%+-]+@[a-zA-Z0-9.-]+\.[a-zA-Z]{2,}$/;
    return re.test(email);
}

const emailInput = document.getElementById('email');
emailInput.addEventListener('input', () => {
    if (!validateEmail(emailInput.value)) {
        emailInput.style.borderColor = 'red';
    } else {
        emailInput.style.borderColor = 'green';
    }
});

이 코드는 이메일 형식이 맞지 않으면 입력 필드의 테두리를 빨간색으로 표시한다. 그러나 클라이언트 측 검증은 우회될 수 있으므로 서버 측 검증과 함께 사용해야 한다.

3. 서버 측 검증

서버 측에서 입력을 검증하는 것은 보안의 핵심이다. Express.js에서 Joi 라이브러리를 사용한 예는 다음과 같다:

const Joi = require('joi');

const schema = Joi.object({
    username: Joi.string().alphanum().min(3).max(30).required(),
    email: Joi.string().email().required(),
    password: Joi.string().pattern(new RegExp('^[a-zA-Z0-9]{8,30}$')).required()
});

app.post('/register', (req, res) => {
    const { error } = schema.validate(req.body);
    if (error) {
        return res.status(400).send(error.details[0].message);
    }
    // 정상 처리
});

이 코드는 사용자 이름, 이메일, 비밀번호를 검증하고, 조건에 맞지 않으면 400 에러를 반환한다.

4. 정규 표현식을 활용한 검증

정규 표현식은 복잡한 패턴을 검증하는 데 유용하다. 예를 들어, 전화번호 검증은 다음과 같다:

function validatePhoneNumber(phone) {
    const re = /^\d{3}-\d{3,4}-\d{4}$/;
    return re.test(phone);
}

const phone = '010-1234-5678';
if (validatePhoneNumber(phone)) {
    console.log('유효한 전화번호');
} else {
    console.log('유효하지 않은 전화번호');
}

이 코드는 한국 전화번호 형식을 검증한다. 정규 표현식은 유연하게 패턴을 정의할 수 있다.

5. 에러 처리와 사용자 피드백

검증 실패 시 사용자에게 명확한 피드백을 제공해야 한다. 클라이언트 측에서 실시간으로 에러를 표시할 수 있다:

const form = document.getElementById('registerForm');
form.addEventListener('submit', async (e) => {
    e.preventDefault();
    const data = new FormData(form);
    const response = await fetch('/register', {
        method: 'POST',
        body: data
    });
    if (!response.ok) {
        const error = await response.text();
        document.getElementById('error').textContent = error;
    } else {
        console.log('등록 성공');
    }
});

서버에서 반환한 에러 메시지를 화면에 표시한다. 사용자에게 즉각적인 피드백을 제공한다.

6. 고급 검증 기법

복잡한 검증 로직을 위해 라이브러리를 활용할 수 있다. 예를 들어, Validator.js는 다양한 검증 함수를 제공한다:

const validator = require('validator');

function validateInput(input) {
    if (!validator.isEmail(input.email)) {
        return '유효하지 않은 이메일';
    }
    if (!validator.isLength(input.password, { min: 8 })) {
        return '비밀번호는 8자 이상이어야 한다';
    }
    return null;
}

const error = validateInput({ email: 'test@example.com', password: '12345678' });
if (error) {
    console.log(error);
} else {
    console.log('검증 통과');
}

Validator.js는 이메일, URL, 길이 등 다양한 검증을 쉽게 수행할 수 있게 한다.

7. 검증과 함께 사용하는 보안 기법

입력 검증은 보안의 일부일 뿐이다. 다음과 같은 기법과 함께 사용하면 보안이 강화된다:

• 파라미터화된 쿼리: SQL 인젝션을 방지한다.
• 출력 인코딩: XSS를 방지한다.
• 권한 관리: 민감한 작업에 대한 접근을 제한한다.

이러한 기법을 조합하면 더 안전한 애플리케이션을 구축할 수 있다.

8. 성능과 검증의 균형

과도한 검증은 성능에 영향을 줄 수 있다. 다음과 같은 점을 고려한다:

- 필수 검증만 수행: 모든 필드에 대해 엄격한 검증을 할 필요는 없다.

- 캐싱 활용: 정규 표현식 컴파일 결과를 캐싱한다.

- 비동기 검증: 시간이 오래 걸리는 검증은 비동기로 처리한다.

마무리

입력 검증은 웹 애플리케이션 보안의 필수 요소이다. 기본 원칙을 지키고, 클라이언트와 서버에서 모두 검증을 수행하며, 정규 표현식과 라이브러리를 활용하면 효과적인 검증을 구현할 수 있다. 지속적인 업데이트와 함께 보안을 유지하는 것이 중요하다.

HTTPS와 보안 헤더 (HTTPS and Security Headers)

웹 애플리케이션에서 HTTPS와 보안 헤더는 보안을 강화하는 핵심 요소이다. HTTPS는 데이터 전송을 암호화해서 중간자 공격을 방지하며, 보안 헤더는 다양한 웹 취약점을 줄이는 역할을 한다. HTTPS의 작동 원리와 보안 헤더의 종류, 그리고 이를 설정하는 방법을 코드와 함께 작성해보려고 한다.

HTTPS와 보안 헤더를 잘 활용하면 사용자 데이터를 안전하게 보호할 수 있다.

HTTPS의 작동 원리

HTTPS는 HTTP에 SSL/TLS를 결합한 프로토콜이다. 클라이언트와 서버 간의 통신을 암호화하며, 데이터의 기밀성과 무결성을 보장한다. SSL/TLS 인증서는 서버의 신원을 확인하고, 암호화된 통신을 가능하게 한다.

HTTPS 연결은 다음과 같은 과정을 거친다:

1. 클라이언트가 서버에 HTTPS 연결을 요청한다.
2. 서버가 SSL/TLS 인증서를 클라이언트에 전송한다.
3. 클라이언트가 인증서를 검증한 후, 대칭 키를 생성해 서버와 공유한다.
4. 대칭 키로 데이터를 암호화하고 복호화한다.

이 과정에서 데이터는 외부에서 엿볼 수 없게 된다.

1. HTTPS 설정 방법

HTTPS를 사용하려면 SSL/TLS 인증서를 획득하고 서버에 적용해야 한다. 인증서는 신뢰할 수 있는 인증 기관(CA)에서 발급받거나, Let’s Encrypt처럼 무료로 제공되는 옵션을 이용할 수 있다.

Node.js와 Express를 사용한 HTTPS 서버 설정은 다음과 같다:

const https = require('https');
const fs = require('fs');
const express = require('express');
const app = express();

const options = {
    key: fs.readFileSync('path/to/private.key'),
    cert: fs.readFileSync('path/to/certificate.crt')
};

app.get('/', (req, res) => {
    res.send('안전한 HTTPS 연결');
});

https.createServer(options, app).listen(443, () => {
    console.log('HTTPS 서버가 443 포트에서 실행된다');
});

이 코드는 인증서를 사용해 HTTPS 서버를 실행한다. 클라이언트는 https://yourdomain.com으로 접속할 수 있다.

Nginx를 사용한 설정도 가능하다:

# /etc/nginx/sites-available/default
server {
    listen 443 ssl;
    server_name yourdomain.com;

    ssl_certificate /path/to/certificate.crt;
    ssl_certificate_key /path/to/private.key;

    location / {
        proxy_pass http://localhost:3000;
    }
}

이 설정은 Nginx를 프록시로 사용해 HTTPS를 처리한다.

2. 보안 헤더의 역할

보안 헤더는 HTTP 응답에 추가되어 브라우저가 웹 페이지를 안전하게 처리하도록 돕는다. 주요 보안 헤더는 다음과 같다:

• Content-Security-Policy (CSP): 허용된 출처에서만 리소스를 로드하도록 제한한다.
• Strict-Transport-Security (HSTS): HTTPS만 사용하도록 강제한다.
• X-Content-Type-Options: MIME 타입 스니핑을 방지한다.
• X-Frame-Options: 클릭재킹 공격을 막는다.
• X-XSS-Protection: XSS 필터를 활성화한다.

각각의 헤더가 특정 보안 위협을 줄이는 데 기여한다.

3. Content-Security-Policy (CSP) 설정

CSP는 리소스의 출처를 제한해서 XSS와 같은 공격을 방어한다. Express.js에서 설정하는 방법은 다음과 같다:

app.use((req, res, next) => {
    res.setHeader('Content-Security-Policy', "default-src 'self'; script-src 'self' https://trusted.com; style-src 'self'");
    next();
});

이 설정은 기본적으로 동일 출처의 리소스만 허용하며, 스크립트는 신뢰할 수 있는 출처에서만 로드된다.

더 엄격한 설정은 nonce를 활용한다:

const crypto = require('crypto');
app.use((req, res, next) => {
    const nonce = crypto.randomBytes(16).toString('base64');
    res.setHeader('Content-Security-Policy', "default-src 'self'; script-src 'nonce-" + nonce + "' 'self'");
    res.locals.nonce = nonce;
    next();
});

app.get('/', (req, res) => {
    res.send(`<script nonce="${res.locals.nonce}">console.log('안전한 스크립트');</script>`);
});

nonce를 사용하면 인라인 스크립트도 안전하게 실행된다.

4. Strict-Transport-Security (HSTS) 설정

HSTS는 브라우저가 HTTPS로만 접속하도록 강제한다. 설정 방법은 다음과 같다:

app.use((req, res, next) => {
    res.setHeader('Strict-Transport-Security', 'max-age=31536000; includeSubDomains; preload');
    next();
});

max-age는 1년, includeSubDomains은 서브도메인 포함, preload는 HSTS 프리로드 목록 등록을 의미한다.

5. X-Content-Type-Options 설정

이 헤더는 MIME 타입 스니핑을 방지한다:

app.use((req, res, next) => {
    res.setHeader('X-Content-Type-Options', 'nosniff');
    next();
});

nosniff는 브라우저가 콘텐츠 타입을 추측하지 않도록 한다.

6. X-Frame-Options 설정

클릭재킹을 방지하려면 이 헤더를 사용한다:

app.use((req, res, next) => {
    res.setHeader('X-Frame-Options', 'DENY');
    next();
});

DENY는 모든 iframe 로드를 차단한다. SAMEORIGIN은 동일 출처만 허용한다.

7. X-XSS-Protection 설정

XSS 공격을 차단하는 필터를 활성화한다:

app.use((req, res, next) => {
    res.setHeader('X-XSS-Protection', '1; mode=block');
    next();
});

1; mode=block은 XSS가 감지되면 페이지 로드를 차단한다.

8. 자바스크립트와 보안 헤더 활용

클라이언트 측에서 보안 헤더를 직접 설정할 수는 없지만, CSP를 통해 실행을 제어할 수 있다. Service Worker를 사용한 예는 다음과 같다:

// sw.js
self.addEventListener('fetch', (event) => {
    event.respondWith(
        fetch(event.request).then((response) => {
            const newHeaders = new Headers(response.headers);
            newHeaders.set('X-Content-Type-Options', 'nosniff');
            return new Response(response.body, {
                status: response.status,
                headers: newHeaders
            });
        })
    );
});

Service Worker가 응답에 헤더를 추가한다.

클라이언트에서 CSP를 확인하는 방법도 있다:

fetch('/').then(response => {
    const csp = response.headers.get('Content-Security-Policy');
    console.log('CSP: ' + csp);
});

응답 헤더를 통해 설정을 확인할 수 있다.

9. HTTPS와 보안 헤더의 효과

이 둘을 결합하면 여러 이점이 생긴다:

- 데이터 보호: HTTPS가 전송 중 데이터를 암호화한다.

- 취약점 감소: 보안 헤더가 XSS, 클릭재킹 등을 방지한다.

- 신뢰성 향상: 사용자와 검색 엔진이 안전한 사이트로 인식한다.

10. 추가적인 보안 강화

보안을 더 높이려면 다음 사항을 고려한다:

• CSP에서 hash를 사용해 스크립트 무결성을 확인한다.
• TLS 1.3과 같은 최신 프로토콜을 적용한다.
• 인증서 만료를 주기적으로 점검한다.

마무리

HTTPS와 보안 헤더는 웹 애플리케이션 보안을 위한 필수적인 조합이다. 데이터 암호화와 취약점 방어를 통해 안전한 환경을 구축할 수 있다. 이를 적용하면 더 나은 웹 개발이 가능하다.

CSRF 방어 (Preventing CSRF)

웹 애플리케이션에서 CSRF(Cross-Site Request Forgery)는 사용자의 의도와 상관없이 공격자가 원하는 요청을 보내게 만드는 보안 취약점이다. 인증된 사용자의 권한을 악용해 위험한 작업을 실행할 수 있어서, 이를 막는 방법은 필수적이다. 이번에는 CSRF 공격이 어떻게 이루어지는지부터 이를 막기 위한 다양한 접근법, 그리고 자바스크립트를 활용한 구체적인 구현까지 단계별로 다뤄보려고 한다.

CSRF를 잘 이해하고 방어하면 사용자의 데이터를 안전하게 지킬 수 있다.

CSRF 공격의 흐름

CSRF는 사용자가 이미 로그인한 상태에서 공격자가 악의적인 요청을 보내는 방식으로 작동한다. 예를 들어, 은행 사이트에 로그인한 사용자가 악성 웹페이지를 방문한다고 해보자. 그 페이지에서 은행 사이트로 돈을 이체하는 요청을 몰래 보내면, 사용자가 인증된 상태이기 때문에 은행은 이를 정상 요청으로 처리한다.

<!-- 악성 웹페이지의 예 -->
<form action="https://bank.com/transfer" method="POST" id="maliciousForm">
    <input type="hidden" name="amount" value="1000">
    <input type="hidden" name="toAccount" value="attackerAccount">
</form>
<script>
    document.getElementById("maliciousForm").submit();
</script>

위 코드는 사용자가 페이지에 들어오자마자 은행으로 요청을 보내는 간단한 공격이다. 인증 쿠키가 자동으로 포함되면서 사용자는 모르게 돈이 이체될 수 있다.

1. Anti-CSRF 토큰으로 막기

CSRF를 막는 가장 흔한 방법은 Anti-CSRF 토큰을 사용하는 것이다. 서버가 고유한 토큰을 생성해서 요청마다 포함시키면, 공격자가 이 토큰을 모르기 때문에 요청이 차단된다.

HTML과 자바스크립트로 구현해보자:

<!-- 서버에서 생성된 토큰을 HTML에 포함 -->
<meta name="csrf-token" content="randomToken123">
<form id="transferForm" action="/transfer" method="POST">
    <input type="text" name="amount">
    <input type="hidden" name="csrfToken" id="csrfToken">
    <button type="submit">이체</button>
</form>

<script>
    const token = document.querySelector('meta[name="csrf-token"]').getAttribute('content');
    document.getElementById('csrfToken').value = token;

    async function submitTransfer(url, data) {
        const response = await fetch(url, {
            method: 'POST',
            headers: {
                'Content-Type': 'application/json',
                'X-CSRF-Token': token
            },
            body: JSON.stringify(data)
        });
        return response.json();
    }

    submitTransfer('/transfer', { amount: 100 })
        .then(data => console.log(data))
        .catch(error => console.error(error));
</script>

서버는 요청에 포함된 토큰을 확인해서 유효하지 않으면 요청을 거부한다. 이렇게 하면 악성 사이트에서 토큰 없이 보낸 요청은 실패한다.

2. SameSite 쿠키 속성 활용

SameSite 속성은 쿠키가 동일한 사이트에서만 전송되도록 제한한다. 이를 설정하면 외부 사이트에서 시작된 요청에 쿠키가 포함되지 않는다.

서버에서 쿠키를 설정할 때 이렇게 할 수 있다:

// 서버 설정 (예: Express.js)
res.cookie('sessionID', 'abc123', {
    sameSite: 'Strict', // 또는 'Lax'
    httpOnly: true
});

Strict는 동일 사이트에서만 쿠키를 보내고, Lax는 일부 안전한 요청을 허용한다. 자바스크립트로는 쿠키를 직접 설정하지 않지만, 클라이언트에서 확인할 수 있다:

console.log(document.cookie); // SameSite 설정은 보이지 않음

이 속성은 CSRF 방어에 큰 도움이 되지만, 모든 브라우저가 지원하지 않을 수 있으니 추가적인 방법과 함께 사용해야 한다.

3. HTTP Referer 검증

Referer 헤더는 요청의 출처를 알려준다. 서버에서 이를 확인하면 신뢰할 수 없는 출처의 요청을 차단할 수 있다.

클라이언트에서 요청을 보내보자:

async function sendRequest(url) {
    const response = await fetch(url, {
        method: 'POST',
        headers: { 'Content-Type': 'application/json' },
        body: JSON.stringify({ data: 'test' })
    });
    return response.json();
}

sendRequest('/action');

서버에서 Referer를 확인하는 로직은 다음과 같다 (예: Node.js):

function verifyReferer(req, res, next) {
    const referer = req.get('Referer');
    if (!referer || !referer.startsWith('https://myapp.com')) {
        return res.status(403).send('Forbidden');
    }
    next();
}

하지만 Referer는 조작될 수 있거나 브라우저 설정에 따라 누락될 수 있어서, 단독으로 의존하기보다는 보조 수단으로 활용하는 편이 낫다.

4. 사용자 상호작용 추가

중요한 요청 전에 사용자가 직접 확인하도록 요구하면 CSRF를 막을 수 있다. 예를 들어, 비밀번호 재입력 창을 띄워보자:

<form id="secureForm" action="/delete" method="POST">
    <input type="password" name="password" placeholder="비밀번호 확인">
    <button type="submit">삭제</button>
</form>

<script>
    document.getElementById('secureForm').addEventListener('submit', async (e) => {
        e.preventDefault();
        const password = document.querySelector('input[name="password"]').value;
        const response = await fetch('/delete', {
            method: 'POST',
            headers: { 'Content-Type': 'application/json' },
            body: JSON.stringify({ password })
        });
        console.log(await response.json());
    });
</script>

이렇게 하면 공격자가 사용자의 비밀번호를 모르면 요청을 완료할 수 없다.

5. 자바스크립트로 복잡한 요청 처리

토큰을 동적으로 관리하며 복잡한 요청을 처리해보자:

async function getCsrfToken() {
    const response = await fetch('/csrf-token');
    const { token } = await response.json();
    return token;
}

async function secureRequest(url, data) {
    const csrfToken = await getCsrfToken();
    try {
        const response = await fetch(url, {
            method: 'POST',
            headers: {
                'Content-Type': 'application/json',
                'X-CSRF-Token': csrfToken
            },
            body: JSON.stringify(data)
        });
        if (!response.ok) throw new Error('요청 실패');
        return response.json();
    } catch (error) {
        console.error('에러: ' + error.message);
    }
}

secureRequest('/update-profile', { name: '홍길동' })
    .then(data => console.log(data));

토큰을 서버에서 동적으로 가져와 요청에 포함시켰다. 에러 처리도 추가해서 안정성을 높였다.

6. 여러 방법 조합

단일 방법만으로는 완벽하지 않을 수 있다. Anti-CSRF 토큰과 SameSite를 함께 써보자:

<meta name="csrf-token" content="dynamicToken456">
<script>
    async function combinedRequest(url, data) {
        const token = document.querySelector('meta[name="csrf-token"]').getAttribute('content');
        const response = await fetch(url, {
            method: 'POST',
            headers: {
                'Content-Type': 'application/json',
                'X-CSRF-Token': token
            },
            body: JSON.stringify(data),
            credentials: 'include' // SameSite 쿠키 포함
        });
        return response.json();
    }

    combinedRequest('/pay', { amount: 500 })
        .then(data => console.log(data));
</script>

서버에서는 SameSite 쿠키와 토큰을 모두 검증하면 더 안전해진다.

7. 공격 시뮬레이션과 방어 확인

CSRF 공격을 시뮬레이션해서 방어가 잘 되는지 확인해보자:

<button id="attackBtn">공격 시뮬레이션</button>
<script>
    document.getElementById('attackBtn').addEventListener('click', async () => {
        const response = await fetch('/transfer', {
            method: 'POST',
            headers: { 'Content-Type': 'application/json' },
            body: JSON.stringify({ amount: 1000 })
        });
        if (response.status === 403) {
            console.log('CSRF 방어 성공: 요청 차단됨');
        } else {
            console.log('CSRF 방어 실패');
        }
    });
</script>

토큰이 없으면 서버가 403을 반환하면서 요청이 막힌다. 이를 통해 방어 상태를 점검할 수 있다.

8. 성능과 보안의 균형

CSRF 방어는 보안을 높이지만 성능에도 영향을 줄 수 있다:

- 토큰 생성: 서버에서 매번 토큰을 만들면 부하가 늘어날 수 있다. 세션별로 한 번만 생성하는 식으로 최적화할 수 있다.

- 검증 속도: 토큰 확인 로직이 빠르게 처리되도록 단순하게 유지해야 한다.

마무리

CSRF는 사용자의 인증을 악용하는 위험한 공격이다. Anti-CSRF 토큰, SameSite 속성, Referer 검증, 사용자 상호작용 등 다양한 방법을 적절히 섞어서 적용하면 웹 애플리케이션을 더 안전하게 만들 수 있다. 자바스크립트를 활용한 동적 처리와 조합까지 다뤄봤으니, 이를 기반으로 보안을 강화해보자.

XSS 방어 (Preventing XSS)

자바스크립트를 다룰 때 XSS(Cross-Site Scripting)는 피할 수 없는 보안 문제 중 하나다. 공격자가 악성 스크립트를 삽입해서 사용자의 브라우저에서 실행되게 만드는 이 공격을 막으려면 철저한 방어가 필요하다. 이번에는 XSS의 기본 개념부터 방어 방법까지 코드와 함께 하나씩 풀어보려고 한다.

XSS를 잘 이해하고 막아내면 웹 애플리케이션의 안전성이 한층 높아진다. 단계별로 차근차근 알아보자.

XSS란 무엇인가

XSS는 사용자가 입력한 데이터를 제대로 처리하지 않아 악성 코드가 웹 페이지에 삽입되는 공격이다. 예를 들어, 사용자가 입력란에 <script>alert('해킹!')</script>를 넣으면 그 코드가 그대로 실행될 수 있다.

간단한 예를 들어보자:

const userInput = "<script>alert('해킹!')</script>";
document.body.innerHTML = userInput;
// 경고창 "해킹!"이 뜬다

이렇게 innerHTML로 바로 넣으면 스크립트가 실행된다. XSS는 이런 식으로 시작된다.

1. 기본 방어: HTML 이스케이프

가장 기본적인 방법은 사용자가 입력한 데이터를 HTML 엔티티로 변환하는 것이다. 그러면 스크립트 태그가 실행되지 않고 텍스트로 표시된다:

function escapeHTML(str) {
    const htmlEntities = {
        '&': '&',
        '<': '&lt;',
        '>': '&gt;',
        '"': '&quot;',
        "'": '&#39;'
    };
    return str.replace(/[&<>"']/g, match => htmlEntities[match]);
}

const userInput = "<script>alert('해킹!')</script>";
const safeInput = escapeHTML(userInput);
document.body.innerHTML = safeInput;
// "<script>alert('해킹!')</script>"로 표시됨

<와 >가 각각 <와 >로 바뀌면서 코드가 실행되지 않았다.

2. innerHTML 대신 textContent 사용

innerHTML은 HTML로 해석되지만, textContent는 순수 텍스트로 처리한다:

const userInput = "<script>alert('해킹!')</script>";
document.body.textContent = userInput;
// "<script>alert('해킹!')</script>"로 표시됨

textContent를 사용하면 태그가 해석되지 않고 그대로 텍스트로 출력된다.

3. DOMPurify로 강력한 방어

직접 이스케이프 함수를 만드는 것도 좋지만, DOMPurify 같은 라이브러리를 활용하면 더 안전하다:

// DOMPurify 라이브러리 추가 후
const userInput = "<script>alert('해킹!')</script><p>안녕</p>";
const clean = DOMPurify.sanitize(userInput);
document.body.innerHTML = clean;
// "<p>안녕</p>"만 남고 스크립트는 제거됨

DOMPurify는 위험한 태그를 제거하면서 허용된 HTML은 유지한다.

4. 이벤트 핸들러에서의 XSS

사용자 입력이 이벤트 핸들러에 들어갈 때도 주의가 필요하다:

const userInput = "alert('해킹!')";
document.body.innerHTML = `<button onclick="${userInput}">클릭</button>`;
// 버튼 클릭 시 "해킹!" 경고창 실행

이를 방어하려면 이벤트 핸들러를 직접 추가해야 한다:

const button = document.createElement('button');
button.textContent = '클릭';
button.addEventListener('click', () => {
    console.log('안전한 클릭');
});
document.body.appendChild(button);

이렇게 하면 사용자 입력이 이벤트 속성에 직접 들어가지 않는다.

5. JSON 데이터 처리

서버에서 받은 JSON 데이터도 XSS 위험이 있을 수 있다:

const unsafeJSON = {
    content: "<script>alert('해킹!')</script>"
};
document.body.innerHTML = unsafeJSON.content;
// 경고창 실행

이를 막으려면 JSON 데이터를 정화해야 한다:

const unsafeJSON = {
    content: "<script>alert('해킹!')</script>"
};
const safeContent = escapeHTML(unsafeJSON.content);
document.body.innerHTML = safeContent;
// 텍스트로 표시됨

JSON 데이터를 화면에 뿌리기 전에 항상 확인하자.

6. URL 파라미터와 XSS

URL 쿼리에서 받은 데이터도 위험할 수 있다:

const params = new URLSearchParams(window.location.search);
const input = params.get('data'); // ?data=<script>alert('해킹!')</script>
document.body.innerHTML = input;
// 경고창 실행

URL 데이터도 이스케이프 처리해야 한다:

const params = new URLSearchParams(window.location.search);
const input = params.get('data');
const safeInput = escapeHTML(input);
document.body.innerHTML = safeInput;

쿼리 파라미터도 안전하게 다루는 습관을 들이자.

7. CSP(Content Security Policy) 활용

CSP는 브라우저 수준에서 XSS를 막아준다. 헤더에 정책을 추가하면 된다:

<meta http-equiv="Content-Security-Policy" content="script-src 'self';">

이렇게 하면 외부 스크립트가 로드되지 않는다:

document.body.innerHTML = "<script src='https://evil.com/hack.js'></script>";
// CSP에 의해 차단됨

CSP는 추가적인 방어선 역할을 한다.

8. 심화: 속성 값에서의 XSS

HTML 속성에 삽입된 스크립트도 위험하다:

const userInput = "\" onclick=\"alert('해킹!')";
document.body.innerHTML = `<input value=${userInput}>`;
// 클릭 시 경고창 실행

이를 막으려면 속성을 동적으로 설정할 때도 안전하게 처리해야 한다:

const input = document.createElement('input');
input.setAttribute('value', escapeHTML("입력값"));
document.body.appendChild(input);

속성 값도 항상 확인하고 설정하자.

9. 프레임워크에서의 XSS 방어

React 같은 프레임워크는 기본적으로 XSS를 방어한다:

function Comment(props) {
    const userInput = "<script>alert('해킹!')</script>";
    return <div>{userInput}</div>;
}
// "<script>alert('해킹!')</script>"로 표시됨

하지만 dangerouslySetInnerHTML을 사용할 때는 주의해야 한다:

function DangerousComponent() {
    const userInput = "<script>alert('해킹!')</script>";
    return <div dangerouslySetInnerHTML={{__html: userInput}} />;
}
// 경고창 실행

프레임워크를 믿더라도 위험한 기능은 피하자.

10. 종합적인 방어 전략

XSS를 완벽히 막으려면 여러 방법을 조합해야 한다:

function renderSafeContent(userInput) {
    const escaped = escapeHTML(userInput);
    const cleaned = DOMPurify.sanitize(escaped);
    const div = document.createElement('div');
    div.textContent = cleaned;
    document.body.appendChild(div);
}

renderSafeContent("<script>alert('해킹!')</script><p>안녕</p>");
// 안전하게 텍스트로 표시됨

이스케이프, 정화, DOM 조작을 모두 활용하면 더 튼튼한 방어가 된다.

마무리

XSS는 자바스크립트 개발에서 늘 마주치는 위협이다. HTML 이스케이프부터 CSP, 프레임워크 활용까지 다양한 방법으로 방어할 수 있다. 사용자가 입력하는 모든 데이터를 의심하고, 여러 층의 보호를 적용하면 안전한 웹을 만들 수 있다.

렌더링 최적화 (Rendering Optimization)

자바스크립트로 웹 애플리케이션을 만들 때 렌더링 최적화는 빠르고 부드러운 사용자 경험을 제공하는 데 핵심이다. 브라우저가 DOM을 그리고 화면에 뿌리는 과정을 효율적으로 관리하면 성능이 크게 향상된다. 이번에는 렌더링 최적화의 기본 개념부터 심화 기법까지 코드와 함께 자세히 살펴보려고 한다.

렌더링 과정을 이해하고 불필요한 계산을 줄이는 방법을 하나씩 풀어보자.

렌더링 과정 이해하기

브라우저가 HTML, CSS, 자바스크립트를 화면에 그리는 과정은 다음과 같다:

- DOM과 CSSOM 생성: HTML과 CSS를 파싱해서 각각 DOM 트리와 CSSOM을 만든다.

- 렌더 트리 생성: DOM과 CSSOM을 결합해 실제로 그릴 요소를 결정한다.

- 레이아웃: 요소의 위치와 크기를 계산한다 (Reflow).

- 페인팅: 픽셀 단위로 화면에 그린다 (Repaint).

자바스크립트는 이 과정에 영향을 주며, 특히 DOM 조작이나 스타일 변경이 잦으면 성능이 떨어질 수 있다.

1. 불필요한 리플로우 줄이기

스타일 변경이 연속으로 일어나면 리플로우(Reflow)가 여러 번 발생한다. 이를 줄여보자:

// 비효율적인 코드
const box = document.querySelector(".box");
box.style.width = "100px"; // 리플로우 1
box.style.height = "100px"; // 리플로우 2
box.style.backgroundColor = "blue"; // 리플로우 3

// 개선된 코드
const box = document.querySelector(".box");
box.style.cssText = "width: 100px; height: 100px; background-color: blue;"; // 리플로우 1번

cssText로 한 번에 스타일을 적용하면 리플로우 횟수가 줄어든다.

2. requestAnimationFrame 활용

애니메이션이나 DOM 업데이트를 부드럽게 처리하려면 requestAnimationFrame을 사용한다:

const box = document.querySelector(".box");
let pos = 0;

function moveBox() {
    pos += 2;
    box.style.transform = `translateX(${pos}px)`;
    if (pos < 200) {
        requestAnimationFrame(moveBox);
    }
}

requestAnimationFrame(moveBox);

브라우저의 프레임 속도에 맞춰 업데이트하니 버벅임 없이 부드럽게 움직인다.

3. transform과 opacity로 리페인트 최소화

위치 이동이나 투명도 조정은 transform과 opacity를 사용하면 리플로우 없이 처리된다:

// 리플로우 발생
const box = document.querySelector(".box");
box.style.left = "50px";
box.style.top = "50px";

// 리플로우 없음
box.style.transform = "translate(50px, 50px)";
box.style.opacity = "0.5";

GPU 가속을 활용하니 렌더링 부담이 확 줄었다.

4. 가상 DOM과 배치 업데이트

React 같은 라이브러리에서 가상 DOM으로 변경 사항을 모아 한 번에 반영한다:

import { useState } from "react";

function Counter() {
    const [count, setCount] = useState(0);

    const handleClick = () => {
        setCount(count + 1);
        setCount(count + 2);
        setCount(count + 3);
    };

    return (
        <div>
            <p>{count}</p>
            <button onClick={handleClick}>증가</button>
        </div>
    );
}

여러 상태 업데이트가 한 번의 렌더링으로 묶여서 처리된다.

5. Intersection Observer로 지연 렌더링

화면에 보이는 요소만 렌더링하려면 IntersectionObserver를 활용한다:

const observer = new IntersectionObserver((entries) => {
    entries.forEach((entry) => {
        if (entry.isIntersecting) {
            entry.target.textContent = "보이는 중!";
            observer.unobserve(entry.target);
        }
    });
}, { threshold: 0.5 });

const items = document.querySelectorAll(".item");
items.forEach((item) => observer.observe(item));

뷰포트에 들어올 때만 콘텐츠를 로드하니 초기 렌더링 부하가 줄어든다.

6. 웹 워커로 계산 분리

무거운 계산을 메인 스레드에서 분리하면 렌더링이 끊기지 않는다:

// worker.js
self.addEventListener("message", (e) => {
    const result = Array(1000000).fill(0).reduce((acc, curr) => acc + curr, e.data);
    self.postMessage(result);
});

// main.js
const worker = new Worker("worker.js");
worker.postMessage(10);
worker.onmessage = (e) => {
    console.log("결과: " + e.data);
};

웹 워커가 계산을 처리하는 동안 UI 스레드가 멈추지 않았다.

7. CSS 컨테이너 쿼리로 반응형 최적화

CSS만으로도 렌더링 부담을 줄일 수 있다:

/* 스타일 */
.container {
    container-type: inline-size;
}

@container (min-width: 300px) {
    .item {
        display: flex;
    }
}

자바스크립트 없이 컨테이너 크기에 따라 스타일을 조정했다.

8. 이벤트 위임으로 리스너 줄이기

수많은 요소에 이벤트 리스너를 붙이면 성능이 저하된다. 위임으로 해결해보자:

// 비효율적
document.querySelectorAll(".item").forEach((item) => {
    item.addEventListener("click", () => console.log("클릭"));
});

// 효율적
document.querySelector(".container").addEventListener("click", (e) => {
    if (e.target.classList.contains("item")) {
        console.log("클릭");
    }
});

하나의 리스너로 여러 요소를 관리하니 메모리와 렌더링 부담이 줄었다.

9. 프레임 드롭 분석과 개선

성능 탭에서 프레임 드롭을 확인하고 개선해보자:

function heavyTask() {
    for (let i = 0; i < 1000000; i++) {
        Math.random();
    }
    requestAnimationFrame(heavyTask);
}

// 개선
function optimizedTask() {
    const start = performance.now();
    while (performance.now() - start < 16) {
        Math.random();
    }
    requestAnimationFrame(optimizedTask);
}

16ms(60fps) 이내로 작업을 제한하니 프레임 드롭이 줄었다.

10. 컴포넌트 분리와 메모이제이션

React에서 불필요한 리렌더링을 막으려면 memo와 useMemo를 사용한다:

import { memo, useMemo } from "react";

const Child = memo(({ data }) => {
    console.log("Child 렌더링");
    return <div>{data}</div>;
});

function Parent() {
    const [count, setCount] = useState(0);
    const data = useMemo(() => "고정값", []);

    return (
        <div>
            <Child data={data} />
            <button onClick={() => setCount(count + 1)}>{count}</button>
        </div>
    );
}

Child가 불필요하게 리렌더링되지 않았다.

성능과 사용자 경험에 미치는 영향

렌더링 최적화가 코드와 사용자 경험에 어떤 영향을 주는지 보자:

- 성능: 리플로우와 리페인트가 줄어들어 CPU와 GPU 사용량이 감소한다.

- 사용자 경험: 빠른 로딩과 부드러운 애니메이션으로 만족도가 올라간다.

마무리

렌더링 최적화는 브라우저의 동작을 이해하고 불필요한 계산을 줄이는 데서 시작한다. DOM 조작 최소화, GPU 활용, 지연 로드 등 다양한 기법을 통해 성능과 사용자 경험을 모두 잡을 수 있다.