학습 목표XSS(Cross-Site Scripting)가 브라우저에서 신뢰된 사이트 컨텍스트로 스크립트를 실행시키는 방식을 설명할 수 있다.Stored·Reflected·DOM XSS의 입력·출력 경로 차이를 설명할 수 있다.출력 인코딩·CSP·HttpOnly가 XSS 방어에서 맡는 역할을 설명할 수 있다.CSRF(Cross-Site Request Forgery)가 쿠키 자동 전송으로 위조 요청을 만드는 방식을 설명할 수 있다.SameSite·CSRF token·Origin 검증으로 CSRF를 막는 이유를 설명할 수 있다.문제 상황게시판 댓글에 — 결과 페이지에 반사Search: {{ q }} 템플릿 이스케이프 없음SPA에서 element.innerHTML = userBio — DOM XSSAPI 응답..