Reflected XSS와 DOM based XSS의 공통점/차이점

[공통점]

악성스크립트가 담긴 URL을 이용해서 공격함

 

[차이점]

Reflected XSS는 서버 측에서 사용자 입력값을 받아 동적 페이지를 구성하지만,

DOM based XSS는 클라이언트 웹 브라우저에서 사용자 입력값을 받아(DOM 이용) 동적 페이지를 구성함.

 

※ DOM based XSS의 경우 웹서버는 사용자 입력값을 사용하지 않으며, 사용자가 서버로부터 웹 페이지를 응답 받는 시점까지는 아직 공격이 이뤄지지 않지만, 응답 받은 웹 페이지가 사용자 브라우저를 통해 실행되면서 DOM에 의해 사용자 입력값(악성 스크립트)을 가져와 동적 페이지를 구성함으로써 사용자 측에서 악성 스크립트가 실행된다.