성태의 닷넷 이야기
홈 주인
모아 놓은 자료
프로그래밍
질문/답변
사용자 관리
사용자
메뉴
아티클
외부 아티클
유용한 코드
온라인 기능
MathJax 입력기
최근 덧글
[정성태] Reordering on an Alpha processor ;...
[정성태] 공유 감사합니다. ^^ 참고로, WPF에서 WindowsF...
[Tom Lee] 답변 감사합니다. 나름의 해결책 연구해보고 여기에도 공유해봅니다...
[정성태] 아래의 글을 보면, MoveWindow 하면 될 듯한데요. ^^...
[Tom Lee] 안녕하세요 올려주신 글 참고하여 WPF 어플리케이션 안에 Uni...
[정성태] A graphical depiction of the steps ...
[정성태] 질문을 주셔서 출판사 측에 문의를 했습니다. 약 한 달 정도 후...
[Thorondor
] @정성태 개인 블로그인데도 거의 커뮤니티 급 인 것 같아요. 요...
[정성태] Roll A Lisp In C - Reading ; https...
[정성태] Java - How to use the Foreign Funct...
글쓰기
제목
이름
암호
전자우편
HTML
홈페이지
유형
제니퍼 .NET
닷넷
COM 개체 관련
스크립트
VC++
VS.NET IDE
Windows
Team Foundation Server
디버깅 기술
오류 유형
개발 환경 구성
웹
기타
Linux
Java
DDK
Math
Phone
Graphics
사물인터넷
부모글 보이기/감추기
내용
<div style='display: inline'> <br /> <div style='font-family: 맑은 고딕, Consolas; font-size: 20pt; color: #006699; text-align: center; font-weight: bold'>Internet Explorer 8 - XHR, XDR, XST, XSRF</div><br /> <br /> 많은 분들이 아시는 것처럼, XHR은 XMLHttpRequest의 약어입니다. IE에서 유행하기 시작하여 다른 웹 브라우저로 전파된 개체로 스크립트에서 자유롭게 호출이 가능하지요.<br /> <br /> 하지만, XMLHttpRequest의 자유로움이 해가 되는 경우가 종종 발생했습니다.<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; width: 800px; background-color: #fbedbb; overflow-x: scroll; font-family: Consolas, Verdana;' > Cross-domain XHR will destroy the internet ; <a target='_tab' href='https://docs.microsoft.com/en-us/archive/blogs/bryansul/cross-domain-xhr-will-destroy-the-internet'>https://docs.microsoft.com/en-us/archive/blogs/bryansul/cross-domain-xhr-will-destroy-the-internet</a> </pre> <br /> 일례로, httpOnly 쿠키를 애써 만들어 놓았는데, XST(Cross Site Tracing)로 간단히 빠져나가는 방법이 공개되었지요.<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; width: 800px; background-color: #fbedbb; overflow-x: scroll; font-family: Consolas, Verdana;' > httpOnly 쿠키 ; <a target='_tab' href='http://mkseo.pe.kr/blog/?p=1215'>http://mkseo.pe.kr/blog/?p=1215</a> cross site tracing ; <a target='_tab' href='http://mkseo.pe.kr/blog/?p=1136'>http://mkseo.pe.kr/blog/?p=1136</a> </pre> <br /> 그래서, 새롭게 IE8에서 제공되는 <a target='_tab' href='https://developer.mozilla.org/en-US/docs/Web/API/XDomainRequest'>XDR(XDomainRequest)</a>은 Silverlight/Flash에서처럼 HTTP의 GET/POST 명령어만 허용하는 차별을 두고 있습니다. 또한, 쿠키를 전송하지 않는다고 합니다. 이는, 쿠키 기반의 인증이 적용된 웹 사이트라면 XDR을 사용할 때는 인증 쿠키가 넘어오지 않는다는 것을 의미하기도 합니다. 이 때문에 XSRF(Cross-Site Request Forgery)에 대한 공격을 대폭 감소시킬 수 있다고 합니다. 어쨌든 이 특징만 보면, 위의 httpOnly 쿠키를 뚫은 XST가 정말 미웠나 봅니다. ^^<br /> <br /> 그 외에 XDomainRequestAllowed 헤더를 이용하여 허락되는 웹 서버로의 자유로운 익명 접근 기능도 있습니다. (이 기능은 Silverlight의 소켓 접속 기능에서도 비슷하게 사용되고 있죠.)<br /> <br /> 그나저나, 요즘 X... 시리즈의 줄임말들을 보고 있자면, 웹 세상은 그야말로 치열한 보안 전쟁 중인 듯 합니다. ^^<br /> <br /><br /><hr /><span style='color: Maroon'>[이 토픽에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]</span> </div>
첨부파일
스팸 방지용 인증 번호
1212
(왼쪽의 숫자를 입력해야 합니다.)