Microsoft MVP성태의 닷넷 이야기
웹: 7. Internet Explorer 8 - XHR, XDR, XST, XSRF [링크 복사], [링크+제목 복사],
조회: 25621
글쓴 사람
정성태 (techsharer at outlook.com)
홈페이지
첨부 파일
 


Internet Explorer 8 - XHR, XDR, XST, XSRF


많은 분들이 아시는 것처럼, XHR은 XMLHttpRequest의 약어입니다. IE에서 유행하기 시작하여 다른 웹 브라우저로 전파된 개체로 스크립트에서 자유롭게 호출이 가능하지요.

하지만, XMLHttpRequest의 자유로움이 해가 되는 경우가 종종 발생했습니다.

Cross-domain XHR will destroy the internet
; https://docs.microsoft.com/en-us/archive/blogs/bryansul/cross-domain-xhr-will-destroy-the-internet

일례로, httpOnly 쿠키를 애써 만들어 놓았는데, XST(Cross Site Tracing)로 간단히 빠져나가는 방법이 공개되었지요.

httpOnly 쿠키
; http://mkseo.pe.kr/blog/?p=1215

cross site tracing
; http://mkseo.pe.kr/blog/?p=1136

그래서, 새롭게 IE8에서 제공되는 XDR(XDomainRequest)은 Silverlight/Flash에서처럼 HTTP의 GET/POST 명령어만 허용하는 차별을 두고 있습니다. 또한, 쿠키를 전송하지 않는다고 합니다. 이는, 쿠키 기반의 인증이 적용된 웹 사이트라면 XDR을 사용할 때는 인증 쿠키가 넘어오지 않는다는 것을 의미하기도 합니다. 이 때문에 XSRF(Cross-Site Request Forgery)에 대한 공격을 대폭 감소시킬 수 있다고 합니다. 어쨌든 이 특징만 보면, 위의 httpOnly 쿠키를 뚫은 XST가 정말 미웠나 봅니다. ^^

그 외에 XDomainRequestAllowed 헤더를 이용하여 허락되는 웹 서버로의 자유로운 익명 접근 기능도 있습니다. (이 기능은 Silverlight의 소켓 접속 기능에서도 비슷하게 사용되고 있죠.)

그나저나, 요즘 X... 시리즈의 줄임말들을 보고 있자면, 웹 세상은 그야말로 치열한 보안 전쟁 중인 듯 합니다. ^^



[이 토픽에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]







[최초 등록일: ]
[최종 수정일: 6/23/2021]

Creative Commons License
이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-변경금지 2.0 대한민국 라이센스에 따라 이용하실 수 있습니다.
by SeongTae Jeong, mailto:techsharer at outlook.com

비밀번호

댓글 작성자
 



2009-02-07 12시33분
Clickjacking이란 공격도 재미있군요. ^^;

Clickjacking Defense in IE8
; https://www.microsoft.com/security/blog/2009/02/05/clickjacking-defense-in-ie8/
kevin25

... [181]  182  183  184  185  186  187  188  189  190  191  192  193  194  195  ...
NoWriterDateCnt.TitleFile(s)
489정성태5/14/200722849.NET Framework: 87. .NET 2.0에서 C# 3.0 기능 사용하기
488정성태5/14/200721354Windows: 25. Multiple Input Queues
487정성태4/24/200726958VC++: 32. VC++에서 bool이 가지는 의미 [3]
486정성태3/22/200726034Windows: 24. DreamScene과 DWM(Desktop Window Manager)의 관계 [1]
485정성태3/17/200721387오류 유형: 32. VS.NET 2005 - x64 환경에서의 mixed 디버깅 환경 구성
484정성태3/17/200720475오류 유형: 31. SQL Compact Edition 설치 후 오류
483정성태3/17/200741918오류 유형: 30. x64 환경: .NET + COM 프로젝트 실행 시 오류 - 80040154 [2]
482정성태3/17/200731365Team Foundation Server: 17. 팀 프로젝트 접속 및 사용
481정성태3/17/200725316Team Foundation Server: 16. 팀 프로젝트 읽기 전용 사용자 등록
480정성태3/14/200723555.NET Framework: 86. GC(Garbage Collector)의 변화
479정성태3/14/200727495개발 환경 구성: 25. D820 - ReadyBoost 구동
478정성태3/14/200726887개발 환경 구성: 24. D820 고주파음 문제
477정성태3/14/200736152개발 환경 구성: 23. 비스타 x64 버전에서 서명되지 않은 드라이버 사용 [4]
476정성태3/9/200731625개발 환경 구성: 22. D820 노트북 - 설치 및 BitLocker 구성 [1]
475정성태3/6/200725952.NET Framework: 85. 공용 프로퍼티 자동 생성
474정성태3/5/200724202.NET Framework: 84. Lambda 표현식 응용 사례 [1]
473정성태3/4/200731241디버깅 기술: 14. TFS 오류 추적(TF53010, TF14105)
472정성태3/3/200730421디버깅 기술: 13. 예외 발생 시 Minidump 생성 - WinDBG [3]파일 다운로드1
471정성태3/1/200719563디버깅 기술: 12. Managed Method에 Break Point 걸기
469정성태2/28/200731178디버깅 기술: 11. (Managed) Main Method에 Break Point 걸기 [3]파일 다운로드1
470정성태3/1/200722586    답변글 디버깅 기술: 11.1. (Managed) Main Method에 Break Point 걸기 - 내용 보강
468정성태2/25/200732346COM 개체 관련: 20. 탭 브라우저의 윈도우 핸들 구하기 [3]
466정성태2/22/200724138Windows: 23. 롱혼 서버 코어 버전 [2]
465정성태2/21/200723127오류 유형: 29. TFS 관련 스케줄 작업 실패
464정성태2/25/200724273오류 유형: 28. TF10217, TF53010, TF14105 오류
463정성태2/21/200717082Team Foundation Server: 15. 포탈 사이트의 보고서 주소를 도메인 명으로 적용
... [181]  182  183  184  185  186  187  188  189  190  191  192  193  194  195  ...