xss(Cross Side Script)는 자바스크립트로 인한 공격을 말한다. <script> 태그를 남용하여 html의 body에 악성 자바스크립트가 포함되도록 만드는 단순한 공격이다. 네이버가 배포하는 lucy와 같은 xss 방지 라이브러리가 존재한다.
csrf는 사용자의 의도와 관계 없이 행해지는 공격 기법을 의미한다.
권한을 가진 타인을 이용해(오용될 수 있는 링크를 숨겨 전송) 잘못된 접근을 하게 만드는공격이다.
방어법으로는 같은 도메인 상에서 요청이 들어오지 않는다면 차단하는 Referrer 검증법이 있고
랜덤하게 발급한 csrf 토큰을 사용자의 세션에 저장하여 사용자의 모든 요청을 서버단에서 검증하는 방법이 있다.
CAPTCHA를 사용하는 방법 또한 있다.
