August 13, 2025

🙈 무분별한 `localStorage` 사용: 개인 정보 유출 및 XSS 공격 위험 증가

JavaScript

보안

에러처리

웹표준

호환성

Summary

localStorage에 민감한 정보를 저장하거나 XSS 공격에 취약한 데이터를 저장하면 보안 문제가 발생할 수 있습니다. 서버 측에서 관리하거나 데이터를 암호화하여 저장하고, 입력값 검증 및 출력값 인코딩을 철저히 해야 합니다.

Why Wrong?

localStorage는 클라이언트 측에 데이터를 저장하는 간단한 방법이지만, 민감한 정보를 저장하거나 XSS 공격에 취약한 데이터를 저장하는 데 사용하면 심각한 보안 문제를 야기할 수 있습니다. localStorage에 저장된 데이터는 JavaScript를 통해 접근할 수 있으므로, 공격자가 XSS 공격을 통해 악성 스크립트를 삽입하면 localStorage의 데이터를 탈취하거나 변조할 수 있습니다. 또한, localStorage는 도메인 간에 공유되지 않지만, 하위 도메인에서는 접근이 가능하므로, 민감한 정보를 저장하는 경우 하위 도메인에서의 보안 위험을 고려해야 합니다.

How to Fix?

localStorage에 민감한 정보를 저장하는 것을 최대한 피해야 합니다. 민감한 정보를 저장해야 하는 경우, 서버 측에서 관리하고 클라이언트 측에서는 접근 토큰만 저장하는 방식을 고려해야 합니다. 또한, 저장된 데이터가 XSS 공격에 취약하지 않도록 입력값 검증 및 출력값 인코딩을 철저히 해야 합니다. HTTPOnly 쿠키를 사용하여 JavaScript에서 접근할 수 없도록 설정하거나, Web Crypto API를 사용하여 데이터를 암호화하여 저장하는 방법도 고려할 수 있습니다. 웹 스토리지 API를 사용할 때에는 항상 보안적인 측면을 고려해야 합니다.

Before Code (Bad)

// ❌ 민감한 정보를 localStorage에 저장 (위험)
localStorage.setItem('apiKey', 'YOUR_API_KEY');

// ❌ XSS 공격에 취약한 데이터를 localStorage에 저장 (위험)
localStorage.setItem('username', '<script>alert("XSS");</script>');

// localStorage에서 데이터를 읽어와 DOM에 직접 삽입 (위험)
document.getElementById('username').innerHTML = localStorage.getItem('username');

After Code (Good)

// ✅ 민감한 정보는 서버에서 관리하고 토큰만 저장
localStorage.setItem('authToken', 'YOUR_AUTH_TOKEN');

// ✅ XSS 공격 방지를 위한 입력값 검증 및 출력값 인코딩
function sanitizeInput(input) {
  const div = document.createElement('div');
  div.textContent = input;
  return div.innerHTML;
}

const username = localStorage.getItem('username');
if (username) {
  document.getElementById('username').innerHTML = sanitizeInput(username);
}

// ✅ Web Crypto API를 사용하여 암호화
async function encryptData(data) {
  const key = await crypto.subtle.generateKey(
    { name: 'AES-GCM', length: 256 }, true, ['encrypt', 'decrypt']
  );
  const iv = crypto.getRandomValues(new Uint8Array(12));
  const encodedData = new TextEncoder().encode(data);
  const cipherText = await crypto.subtle.encrypt(
    { name: 'AES-GCM', iv: iv }, key, encodedData
  );
  return {
    cipherText: Array.from(new Uint8Array(cipherText)),
    iv: Array.from(iv),
    key: await crypto.subtle.exportKey('jwk', key)
  };
}

async function saveEncryptedData(data, keyName) {
  const encrypted = await encryptData(data);
  localStorage.setItem(keyName, JSON.stringify(encrypted));
}


// 사용 예시
saveEncryptedData('Sensitive Data', 'encryptedData');

localStorage의 보안 문제 및 XSS 공격에 대한 이해를 돕습니다.

https://owasp.org/www-community/attacks/xss/

Web Crypto API를 사용하여 데이터를 암호화하는 방법을 설명합니다.

https://developer.mozilla.org/en-US/docs/Web/API/Web_Crypto_API