많은 분들이 아시는 것처럼, XHR은 XMLHttpRequest의 약어입니다. IE에서 유행하기 시작하여 다른 웹 브라우저로 전파된 개체로 스크립트에서 자유롭게 호출이 가능하지요.

하지만, XMLHttpRequest의 자유로움이 해가 되는 경우가 종종 발생했습니다.

Cross-domain XHR will destroy the internet
; https://docs.microsoft.com/en-us/archive/blogs/bryansul/cross-domain-xhr-will-destroy-the-internet

일례로, httpOnly 쿠키를 애써 만들어 놓았는데, XST(Cross Site Tracing)로 간단히 빠져나가는 방법이 공개되었지요.

httpOnly 쿠키
; http://mkseo.pe.kr/blog/?p=1215

cross site tracing
; http://mkseo.pe.kr/blog/?p=1136

그래서, 새롭게 IE8에서 제공되는 XDR(XDomainRequest)은 Silverlight/Flash에서처럼 HTTP의 GET/POST 명령어만 허용하는 차별을 두고 있습니다. 또한, 쿠키를 전송하지 않는다고 합니다. 이는, 쿠키 기반의 인증이 적용된 웹 사이트라면 XDR을 사용할 때는 인증 쿠키가 넘어오지 않는다는 것을 의미하기도 합니다. 이 때문에 XSRF(Cross-Site Request Forgery)에 대한 공격을 대폭 감소시킬 수 있다고 합니다. 어쨌든 이 특징만 보면, 위의 httpOnly 쿠키를 뚫은 XST가 정말 미웠나 봅니다. ^^

그 외에 XDomainRequestAllowed 헤더를 이용하여 허락되는 웹 서버로의 자유로운 익명 접근 기능도 있습니다. (이 기능은 Silverlight의 소켓 접속 기능에서도 비슷하게 사용되고 있죠.)

그나저나, 요즘 X... 시리즈의 줄임말들을 보고 있자면, 웹 세상은 그야말로 치열한 보안 전쟁 중인 듯 합니다. ^^

---

[이 토픽에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]

[최초 등록일: 2/7/2009]
[최종 수정일: 6/23/2021]


이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-변경금지 2.0 대한민국 라이센스에 따라 이용하실 수 있습니다.

by SeongTae Jeong, mailto:techsharer at outlook.com