성태의 닷넷 이야기
홈 주인
모아 놓은 자료
프로그래밍
질문/답변
사용자 관리
사용자
메뉴
아티클
외부 아티클
유용한 코드
온라인 기능
MathJax 입력기
최근 덧글
[정성태] 아쉽게도, 커뮤니티는 아니고 개인 블로그입니다. ^^
[정성태] 질문이 잘 이해가 안 됩니다. 우선, 해당 소스코드에서 ILis...
[양승조
] var대신 dinamic으로 선언해서 해결은 했습니다. 맞는 해...
[양승조
] 또 막혔습니다. ㅠㅠ var list = props[i].Ge...
[양승조
] 아. 감사합니다. 어제는 안됐던것 같은데....정신을 차려야겠네...
[정성태] "props[i].GetValue(props[i])" 코드에서 ...
[정성태] 저렇게 조각 코드 말고, 실제로 재현이 되는 예제 프로젝트를 압...
[정성태] Modules 창(Ctrl+Shift+U)을 띄워서, 해당 Op...
[정성태] 만드실 수 있습니다. 단지, Unity 엔진 내의 스크립트와 W...
[공진영] 안녕하세요 좋은글 감사합니다. 현재 제가 wpf로 관제 모...
글쓰기
제목
이름
암호
전자우편
HTML
홈페이지
유형
제니퍼 .NET
닷넷
COM 개체 관련
스크립트
VC++
VS.NET IDE
Windows
Team Foundation Server
디버깅 기술
오류 유형
개발 환경 구성
웹
기타
Linux
Java
DDK
Math
Phone
Graphics
사물인터넷
부모글 보이기/감추기
내용
<div style='display: inline'> <br /> <div style='font-family: 맑은 고딕, Consolas; font-size: 20pt; color: #006699; text-align: center; font-weight: bold'>Internet Explorer 8 - XHR, XDR, XST, XSRF</div><br /> <br /> 많은 분들이 아시는 것처럼, XHR은 XMLHttpRequest의 약어입니다. IE에서 유행하기 시작하여 다른 웹 브라우저로 전파된 개체로 스크립트에서 자유롭게 호출이 가능하지요.<br /> <br /> 하지만, XMLHttpRequest의 자유로움이 해가 되는 경우가 종종 발생했습니다.<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; width: 800px; background-color: #fbedbb; overflow-x: scroll; font-family: Consolas, Verdana;' > Cross-domain XHR will destroy the internet ; <a target='_tab' href='https://docs.microsoft.com/en-us/archive/blogs/bryansul/cross-domain-xhr-will-destroy-the-internet'>https://docs.microsoft.com/en-us/archive/blogs/bryansul/cross-domain-xhr-will-destroy-the-internet</a> </pre> <br /> 일례로, httpOnly 쿠키를 애써 만들어 놓았는데, XST(Cross Site Tracing)로 간단히 빠져나가는 방법이 공개되었지요.<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; width: 800px; background-color: #fbedbb; overflow-x: scroll; font-family: Consolas, Verdana;' > httpOnly 쿠키 ; <a target='_tab' href='http://mkseo.pe.kr/blog/?p=1215'>http://mkseo.pe.kr/blog/?p=1215</a> cross site tracing ; <a target='_tab' href='http://mkseo.pe.kr/blog/?p=1136'>http://mkseo.pe.kr/blog/?p=1136</a> </pre> <br /> 그래서, 새롭게 IE8에서 제공되는 <a target='_tab' href='https://developer.mozilla.org/en-US/docs/Web/API/XDomainRequest'>XDR(XDomainRequest)</a>은 Silverlight/Flash에서처럼 HTTP의 GET/POST 명령어만 허용하는 차별을 두고 있습니다. 또한, 쿠키를 전송하지 않는다고 합니다. 이는, 쿠키 기반의 인증이 적용된 웹 사이트라면 XDR을 사용할 때는 인증 쿠키가 넘어오지 않는다는 것을 의미하기도 합니다. 이 때문에 XSRF(Cross-Site Request Forgery)에 대한 공격을 대폭 감소시킬 수 있다고 합니다. 어쨌든 이 특징만 보면, 위의 httpOnly 쿠키를 뚫은 XST가 정말 미웠나 봅니다. ^^<br /> <br /> 그 외에 XDomainRequestAllowed 헤더를 이용하여 허락되는 웹 서버로의 자유로운 익명 접근 기능도 있습니다. (이 기능은 Silverlight의 소켓 접속 기능에서도 비슷하게 사용되고 있죠.)<br /> <br /> 그나저나, 요즘 X... 시리즈의 줄임말들을 보고 있자면, 웹 세상은 그야말로 치열한 보안 전쟁 중인 듯 합니다. ^^<br /> <br /><br /><hr /><span style='color: Maroon'>[이 토픽에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]</span> </div>
첨부파일
스팸 방지용 인증 번호
1772
(왼쪽의 숫자를 입력해야 합니다.)