웹 보안에서 window.postMessage() 사용 시 주의할 점은?

Q: 웹 보안에서 window.postMessage() 사용 시 주의할 점은?

수신 측에서 event.origin을 검증하지 않으면 악의적인 페이지에서 보낸 메시지를 신뢰할 수 있다 postMessage()는 서로 다른 출처(origin) 간 통신을 가능하게 합니다. 수신 측에서 event.origin을 반드시 확인하지 않으면, 악의적인 iframe이나 팝업에서 보낸 가짜 메시지를 처리할 위험이 있습니다. targetOrigin도 '*' 대신 구체적인 출처를 지정해야 합니다.

어려움 MDN Web Docs

보기 및 정답

A 수신 측에서 event.origin을 검증하지 않으면 악의적인 페이지에서 보낸 메시지를 신뢰할 수 있다

B postMessage API는 브라우저의 보안 샌드박스 내에서 항상 안전하게 동작하므로 별도 검증이 불필요하다

C postMessage는 같은 출처에서만 동작하도록 브라우저가 자동으로 제한하므로 교차 출처 통신에 사용할 수 없다

D postMessage로 전송된 데이터는 브라우저가 자동으로 TLS 암호화하여 도청과 변조를 방지한다

해설

postMessage()는 서로 다른 출처(origin) 간 통신을 가능하게 합니다. 수신 측에서 event.origin을 반드시 확인하지 않으면, 악의적인 iframe이나 팝업에서 보낸 가짜 메시지를 처리할 위험이 있습니다. targetOrigin도 '*' 대신 구체적인 출처를 지정해야 합니다.

코딩, 제대로 배우고 싶다면?

개념 확인은 퀴즈로, 실력은 실전 프로젝트로.
투더제이 코딩클래스에서 시작하세요.

정규반 살펴보기

로그인

추가 정보 입력

회원가입

비밀번호 찾기

웹 보안에서 window.postMessage() 사용 시 주의할 점은?

해설

코딩, 제대로 배우고 싶다면?

관련 문제

모두를 위한 진짜 쎈 바이브코딩