---
id: security-output-encoding-xss
title: Output Encoding & XSS 방지
category: Coding
status: draft
source_trust_level: B
verification_status: conceptual
created_at: 2026-05-09
updated_at: 2026-05-09
tags: [security, xss, encoding, csp, vibe-coding]
tech_stack: { language: "TypeScript / React / Express", applicable_to: ["Web"] }
applied_in: []
aliases: [HTML escape, dangerouslySetInnerHTML, CSP, sanitize]
---

# Output Encoding & XSS

> XSS 의 답은 **어떤 컨텍스트(HTML body / attribute / JS / URL / CSS)에 출력하느냐에 따라 인코딩이 달라진다**. React 가 디폴트로 안전하지만 `dangerouslySetInnerHTML` / `href` 등에서 구멍.

## 📖 핵심 개념
3 종류 XSS:
- **Stored**: 서버 DB 에 저장된 악성 스크립트 → 다른 사용자 화면에 실행.
- **Reflected**: URL / 입력 즉시 페이지에 echo.
- **DOM-based**: 클라이언트 JS 가 사용자 입력을 안전하지 않게 DOM 에 삽입.

## 💻 코드 패턴

### React 디폴트는 안전
```tsx
const name = userInput; // <script>alert(1)</script>
return <div>{name}</div>;
// 자동 escape. <script> 가 텍스트로 표시됨.
```

### dangerouslySetInnerHTML — DOMPurify
```tsx
import DOMPurify from 'dompurify';

function RichContent({ html }: { html: string }) {
  const safe = DOMPurify.sanitize(html, {
    ALLOWED_TAGS: ['b', 'i', 'em', 'strong', 'a', 'p', 'br', 'ul', 'ol', 'li'],
    ALLOWED_ATTR: ['href'],
  });
  return <div dangerouslySetInnerHTML={{ __html: safe }} />;
}
```

### URL — 스킴 검증
```tsx
function safeHref(url: string): string {
  try {
    const u = new URL(url, location.origin);
    if (!['http:', 'https:', 'mailto:'].includes(u.protocol)) return '#';
    return u.toString();
  } catch { return '#'; }
}

<a href={safeHref(userUrl)}>...</a>
// javascript: 같은 스킴 차단
```

### Server-side template — 한국어 emoji 등 escape 정확히
```ts
// 서버에서 HTML 만들 때
import escapeHtml from 'escape-html';
const html = `<h1>${escapeHtml(name)}</h1>`;
// <, >, ", ', & 만 escape
```

### CSP (Content Security Policy)
```ts
app.use((req, res, next) => {
  res.setHeader('Content-Security-Policy',
    "default-src 'self'; " +
    "script-src 'self' 'nonce-" + nonce + "'; " +
    "style-src 'self' 'unsafe-inline'; " +
    "img-src 'self' data: https:; " +
    "connect-src 'self' https://api.example.com; " +
    "frame-ancestors 'none'; " +
    "base-uri 'self'; " +
    "form-action 'self'"
  );
  next();
});
```

### JSON in HTML (SSR)
```tsx
// ❌ XSS 가능
<script>const data = ${JSON.stringify(data)};</script>
// data 안에 </script> 있으면 탈출

// ✅ 별도 element
<script type="application/json" id="boot-data">{JSON.stringify(data)}</script>
// Client 에서: JSON.parse(document.getElementById('boot-data').textContent)
```

## 🤔 의사결정 기준
| 컨텍스트 | 인코딩 |
|---|---|
| HTML body 텍스트 | escape `<>&"'` |
| HTML attribute (`title="..."`) | escape + 따옴표로 감싸기 |
| URL attribute (`href`, `src`) | URL encode + 스킴 검증 |
| JS string literal | JSON.stringify + closing tag escape |
| CSS value | CSS escape |
| Markdown / Rich text 받을 때 | sanitizer (DOMPurify, sanitize-html) |

## ❌ 안티패턴
- **`dangerouslySetInnerHTML` 없이 sanitize**: 검증 안 된 HTML 직접 주입.
- **사용자 입력 URL 을 `href` 그대로**: `javascript:alert(1)` 가능.
- **`eval` / `Function` / `new Function`**: 사용자 입력이 들어가면 RCE.
- **innerHTML = userInput**: 클래식 XSS.
- **CSP 없이 inline script + nonce 안 씀**: 모든 inline 통과.
- **CSP 의 `unsafe-inline` / `unsafe-eval`**: CSP 의미 절반 잃음. 마이그레이션 가이드 따라 nonce / hash 로.
- **서버 검증만 + 클라이언트 출력 인코딩 누락**: client-side rendered 변수가 raw HTML. React 디폴트 safe 라 보통 OK 지만 React 외 환경 주의.
- **이메일/SMS 본문에 사용자 입력 그대로**: 다른 종류 인젝션 (SMTP header, link rewriting).

## 🤖 LLM 활용 힌트
- React 외 / SSR template / dangerouslySetInnerHTML / URL 컨텍스트에서 sanitizer 명시.
- CSP 헤더는 helmet 라이브러리 권장.

## 🔗 관련 문서
- [[Security_Input_Validation]]
- [[Security_CSRF_Patterns]]