- JWT - JSON Web Token 으로 토큰의 형태이다 .
- XSS - Cross site Scripting 으로 사용자의 정보(쿠키,세션)를 탈취하는 것이 목적인 공격 기법이다.
- CSRF- Cross Site Request Forgery 으로 사용자가 자신의 의지와는 무관하게 공격자가 의도한 행위를 하는 공격 기법이다.
로컬스토리지에 accessToken 이 들어가면 안되는 이유는
playGround 에서
<img src='#' onerror='console.log(localStorage.getItem(\"accessToken\"))' />이런식으로 작성을 해주면 img가 없을 때 localStorage에 있는 accessToken 을 얻을 수 있다.
DOMpurify
이러한 상황을 막는 라이브러리가 있다.
DOMpurify
yarn add:
yarn add dompurify --dev
dompurify 또한 브라우저에서만 실행되도록 해준다.
사용해주면 자바스크립트 코드들을 없애줄 수 있다.
그래서 콘솔이 안찍힌다.
프론트엔드 개발자