[G1-Sync] Manual knowledge update

10_Wiki/Topics/Coding/Security_Output_Encoding_XSS.md

@@ -0,0 +1,124 @@
+---
+id: security-output-encoding-xss
+title: Output Encoding & XSS 방지
+category: Coding
+status: draft
+source_trust_level: B
+verification_status: conceptual
+created_at: 2026-05-09
+updated_at: 2026-05-09
+tags: [security, xss, encoding, csp, vibe-coding]
+tech_stack: { language: "TypeScript / React / Express", applicable_to: ["Web"] }
+applied_in: []
+aliases: [HTML escape, dangerouslySetInnerHTML, CSP, sanitize]
+---
+
+# Output Encoding & XSS
+
+> XSS 의 답은 **어떤 컨텍스트(HTML body / attribute / JS / URL / CSS)에 출력하느냐에 따라 인코딩이 달라진다**. React 가 디폴트로 안전하지만 `dangerouslySetInnerHTML` / `href` 등에서 구멍.
+
+## 📖 핵심 개념
+3 종류 XSS:
+- **Stored**: 서버 DB 에 저장된 악성 스크립트 → 다른 사용자 화면에 실행.
+- **Reflected**: URL / 입력 즉시 페이지에 echo.
+- **DOM-based**: 클라이언트 JS 가 사용자 입력을 안전하지 않게 DOM 에 삽입.
+
+## 💻 코드 패턴
+
+### React 디폴트는 안전
+```tsx
+const name = userInput; // <script>alert(1)</script>
+return <div>{name}</div>;
+// 자동 escape. <script> 가 텍스트로 표시됨.
+```
+
+### dangerouslySetInnerHTML — DOMPurify
+```tsx
+import DOMPurify from 'dompurify';
+
+function RichContent({ html }: { html: string }) {
+  const safe = DOMPurify.sanitize(html, {
+    ALLOWED_TAGS: ['b', 'i', 'em', 'strong', 'a', 'p', 'br', 'ul', 'ol', 'li'],
+    ALLOWED_ATTR: ['href'],
+  });
+  return <div dangerouslySetInnerHTML={{ __html: safe }} />;
+}
+```
+
+### URL — 스킴 검증
+```tsx
+function safeHref(url: string): string {
+  try {
+    const u = new URL(url, location.origin);
+    if (!['http:', 'https:', 'mailto:'].includes(u.protocol)) return '#';
+    return u.toString();
+  } catch { return '#'; }
+}
+
+<a href={safeHref(userUrl)}>...</a>
+// javascript: 같은 스킴 차단
+```
+
+### Server-side template — 한국어 emoji 등 escape 정확히
+```ts
+// 서버에서 HTML 만들 때
+import escapeHtml from 'escape-html';
+const html = `<h1>${escapeHtml(name)}</h1>`;
+// <, >, ", ', & 만 escape
+```
+
+### CSP (Content Security Policy)
+```ts
+app.use((req, res, next) => {
+  res.setHeader('Content-Security-Policy',
+    "default-src 'self'; " +
+    "script-src 'self' 'nonce-" + nonce + "'; " +
+    "style-src 'self' 'unsafe-inline'; " +
+    "img-src 'self' data: https:; " +
+    "connect-src 'self' https://api.example.com; " +
+    "frame-ancestors 'none'; " +
+    "base-uri 'self'; " +
+    "form-action 'self'"
+  );
+  next();
+});
+```
+
+### JSON in HTML (SSR)
+```tsx
+// ❌ XSS 가능
+<script>const data = ${JSON.stringify(data)};</script>
+// data 안에 </script> 있으면 탈출
+
+// ✅ 별도 element
+<script type="application/json" id="boot-data">{JSON.stringify(data)}</script>
+// Client 에서: JSON.parse(document.getElementById('boot-data').textContent)
+```
+
+## 🤔 의사결정 기준
+| 컨텍스트 | 인코딩 |
+|---|---|
+| HTML body 텍스트 | escape `<>&"'` |
+| HTML attribute (`title="..."`) | escape + 따옴표로 감싸기 |
+| URL attribute (`href`, `src`) | URL encode + 스킴 검증 |
+| JS string literal | JSON.stringify + closing tag escape |
+| CSS value | CSS escape |
+| Markdown / Rich text 받을 때 | sanitizer (DOMPurify, sanitize-html) |
+
+## ❌ 안티패턴
+- **`dangerouslySetInnerHTML` 없이 sanitize**: 검증 안 된 HTML 직접 주입.
+- **사용자 입력 URL 을 `href` 그대로**: `javascript:alert(1)` 가능.
+- **`eval` / `Function` / `new Function`**: 사용자 입력이 들어가면 RCE.
+- **innerHTML = userInput**: 클래식 XSS.
+- **CSP 없이 inline script + nonce 안 씀**: 모든 inline 통과.
+- **CSP 의 `unsafe-inline` / `unsafe-eval`**: CSP 의미 절반 잃음. 마이그레이션 가이드 따라 nonce / hash 로.
+- **서버 검증만 + 클라이언트 출력 인코딩 누락**: client-side rendered 변수가 raw HTML. React 디폴트 safe 라 보통 OK 지만 React 외 환경 주의.
+- **이메일/SMS 본문에 사용자 입력 그대로**: 다른 종류 인젝션 (SMTP header, link rewriting).
+
+## 🤖 LLM 활용 힌트
+- React 외 / SSR template / dangerouslySetInnerHTML / URL 컨텍스트에서 sanitizer 명시.
+- CSP 헤더는 helmet 라이브러리 권장.
+
+## 🔗 관련 문서
+- [[Security_Input_Validation]]
+- [[Security_CSRF_Patterns]]