⚡ WEB-08: Reflected XSS with Polyglot Payload

검색 결과에 입력값을 여러 컨텍스트에서 출력 → Polyglot 벡터 우회 가능

2️⃣ 자동완성 (JavaScript)

입력된 검색어를 자동완성 리스트에 추가

✅ 방어 방법

1. HTML 문맥에서: htmlspecialchars($input, ENT_QUOTES, 'UTF-8')

2. JavaScript 문맥에서: json_encode($input, JSON_HEX_QUOT | JSON_HEX_TAG)

3. CSS 문맥에서: URL 검증 및 whitelist 사용

4. 강력한 CSP (Content Security Policy) 설정