Web framework security
- 10. 1. HTML attribute는 반드시
double quote로 감싼다
2. javascript code를 직접 생성해 넘길 때에는 반드시
직접 검사한다
- 15. 1. 하나의 session당 csrf_token을
하나밖에 운영할 수 없다.
2. 한 번 쓰고 버리는 것이 아니고
session이 유지되는 동안 계속 재활용한다.
- 16. 1. XSS공격이 가능한 페이지가 있어야 한다.
2. target의 csrf_token을 알 수 있어야 한다.