Microsoft MVP성태의 닷넷 이야기
홈 주인모아 놓은 자료프로그래밍질문/답변사용자 관리 RSS OPML Link
웹: 7. Internet Explorer 8 - XHR, XDR, XST, XSRF [링크 복사], [링크+제목 복사],
조회: 28746
글쓴 사람
정성태 (techsharer at outlook.com)
홈페이지
http://www.sysnet.pe.kr
첨부 파일
 


Internet Explorer 8 - XHR, XDR, XST, XSRF


많은 분들이 아시는 것처럼, XHR은 XMLHttpRequest의 약어입니다. IE에서 유행하기 시작하여 다른 웹 브라우저로 전파된 개체로 스크립트에서 자유롭게 호출이 가능하지요.

하지만, XMLHttpRequest의 자유로움이 해가 되는 경우가 종종 발생했습니다.

Cross-domain XHR will destroy the internet
; https://docs.microsoft.com/en-us/archive/blogs/bryansul/cross-domain-xhr-will-destroy-the-internet

일례로, httpOnly 쿠키를 애써 만들어 놓았는데, XST(Cross Site Tracing)로 간단히 빠져나가는 방법이 공개되었지요.

httpOnly 쿠키
; http://mkseo.pe.kr/blog/?p=1215

cross site tracing
; http://mkseo.pe.kr/blog/?p=1136

그래서, 새롭게 IE8에서 제공되는 XDR(XDomainRequest)은 Silverlight/Flash에서처럼 HTTP의 GET/POST 명령어만 허용하는 차별을 두고 있습니다. 또한, 쿠키를 전송하지 않는다고 합니다. 이는, 쿠키 기반의 인증이 적용된 웹 사이트라면 XDR을 사용할 때는 인증 쿠키가 넘어오지 않는다는 것을 의미하기도 합니다. 이 때문에 XSRF(Cross-Site Request Forgery)에 대한 공격을 대폭 감소시킬 수 있다고 합니다. 어쨌든 이 특징만 보면, 위의 httpOnly 쿠키를 뚫은 XST가 정말 미웠나 봅니다. ^^

그 외에 XDomainRequestAllowed 헤더를 이용하여 허락되는 웹 서버로의 자유로운 익명 접근 기능도 있습니다. (이 기능은 Silverlight의 소켓 접속 기능에서도 비슷하게 사용되고 있죠.)

그나저나, 요즘 X... 시리즈의 줄임말들을 보고 있자면, 웹 세상은 그야말로 치열한 보안 전쟁 중인 듯 합니다. ^^


[이 토픽에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]





[최초 등록일: ]
[최종 수정일: 6/23/2021]

Creative Commons License
이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-변경금지 2.0 대한민국 라이센스에 따라 이용하실 수 있습니다.
by SeongTae Jeong, mailto:techsharer at outlook.com
비밀번호
댓글 작성자
 


2009-02-07 12시33분
Clickjacking이란 공격도 재미있군요. ^^;

Clickjacking Defense in IE8
; https://www.microsoft.com/security/blog/2009/02/05/clickjacking-defense-in-ie8/
kevin25
... 61  62  63  64  65  66  67  68  69  70  71  72  [73]  74  75  ...
NoWriterDateCnt.TitleFile(s)
12203정성태3/18/202022806오류 유형: 612. warning: 'C:\ProgramData/Git/config' has a dubious owner: '...'.
12202정성태3/18/202026194개발 환경 구성: 486. .NET Framework 프로젝트를 위한 GitLab CI/CD Runner 구성
12201정성태3/18/202022735오류 유형: 611. git-credential-manager.exe: Using credentials for username "Personal Access Token". [1]
12200정성태3/18/202022739VS.NET IDE: 145. NuGet + Github 라이브러리 디버깅 관련 옵션 3가지 - "Enable Just My Code" / "Enable Source Link support" / "Suppress JIT optimization on module load (Managed only)"
12199정성태3/17/202020912오류 유형: 610. C# - CodeDomProvider 사용 시 Unhandled Exception: System.IO.DirectoryNotFoundException: Could not find a part of the path '...\f2_6uod0.tmp'.
12198정성태3/17/202024282오류 유형: 609. SQL 서버 접속 시 "Cannot open user default database. Login failed."
12197정성태3/17/202023721VS.NET IDE: 144. .NET Core 콘솔 응용 프로그램을 배포(publish) 시 docker image 자동 생성 - 두 번째 이야기 [1]
12196정성태3/17/202020252오류 유형: 608. The ServicedComponent being invoked is not correctly configured (Use regsvcs to re-register).
12195정성태3/16/202022515.NET Framework: 902. C# - 프로세스의 모든 핸들을 열람 - 세 번째 이야기
12194정성태3/16/202025815오류 유형: 607. PostgreSQL - Npgsql.NpgsqlException: sorry, too many clients already
12193정성태3/16/202023112개발 환경 구성: 485. docker - SAP Adaptive Server Enterprise 컨테이너 실행 [1]
12192정성태3/14/202023732개발 환경 구성: 484. docker - Sybase Anywhere 16 컨테이너 실행
12191정성태3/14/202025241개발 환경 구성: 483. docker - OracleXE 컨테이너 실행 [1]
12190정성태3/14/202019732오류 유형: 606. Docker Desktop 업그레이드 시 "The process cannot access the file 'C:\Program Files\Docker\Docker\resources\dockerd.exe' because it is being used by another process."
12189정성태3/13/202025122개발 환경 구성: 482. Facebook OAuth 처리 시 상태 정보 전달 방법과 "유효한 OAuth 리디렉션 URI" 설정 규칙
12188정성태3/13/202033283Windows: 169. 부팅 시점에 실행되는 chkdsk 결과를 확인하는 방법
12187정성태3/12/202020503오류 유형: 605. NtpClient was unable to set a manual peer to use as a time source because of duplicate error on '...'.
12186정성태3/12/202021394오류 유형: 604. The SysVol Permissions for one or more GPOs on this domain controller and not in sync with the permissions for the GPOs on the Baseline domain controller.
12185정성태3/11/202022583오류 유형: 603. The browser service was unable to retrieve a list of servers from the browser master...
12184정성태3/11/202024926오류 유형: 602. Automatic certificate enrollment for local system failed (0x800706ba) The RPC server is unavailable. [3]
12183정성태3/11/202021212오류 유형: 601. Warning: DsGetDcName returned information for \\[...], when we were trying to reach [...].
12182정성태3/11/202023104.NET Framework: 901. C# Windows Forms - Vista/7 이후의 Progress Bar 업데이트가 느린 문제파일 다운로드1
12181정성태3/11/202023574기타: 76. 재현 가능한 최소한의 예제 프로젝트란? - 두 번째 예제파일 다운로드1
12180정성태3/10/202020244오류 유형: 600. "Docker Desktop for Windows" - EXPOSE 포트가 LISTENING 되지 않는 문제
12179정성태3/10/202030885개발 환경 구성: 481. docker - PostgreSQL 컨테이너 실행
12178정성태3/10/202024809개발 환경 구성: 480. Linux 운영체제의 docker를 위한 tcp 바인딩 추가 [1]
... 61  62  63  64  65  66  67  68  69  70  71  72  [73]  74  75  ...