악의적인 사용자가 웹페이지에 JavaScript 코드를 삽입하여 다른 사용자의 쿠키, 세션, 개인정보를 탈취하는 공격입니다.
❌ 나쁜 예시
// ❌ innerHTML로 사용자 입력 직접 삽입
const userInput = '<img src=x onerror="alert(document.cookie)">';
element.innerHTML = userInput; // 스크립트 실행됨!
✅ 좋은 예시
// ✅ textContent 사용 (자동 이스케이프)
element.textContent = userInput;
// ✅ React는 기본적으로 XSS 방어
// JSX에서 {userInput}은 자동 이스케이프됨
return <div>{userInput}</div>;
// ⚠️ 단, dangerouslySetInnerHTML은 위험!
// 반드시 DOMPurify 등으로 sanitize 후 사용