window.open 을 사용할 때 팝업 창을 여는 올바른 방법

오늘은 별도 컨텍스트를 가진 새 창을 띄우는 개발을 하며 알게된 내용을 정리해보려 합니다.

 

window.open

 

왜 아직도 window.open이 필요한가?

 

시작전에 팝업과 모달의 본질적 차이부터 알아보겠습니다.

팝업창

• 브라우저가 완전히 분리된 새 창(또는 탭)으로 동작
• 브라우저의 팝업 차단 기능에 영향을 받고
• 부모 페이지와 별도의 브라우저 컨텍스트를 갖습니다.
• 창의 위치, 크기, 스크롤바 등 다양한 속성을 제어할 수 있습니다.
• 부모 창이 새로고침되거나 이동해도 팝업은 유지됩니다.
• 브라우저 팝업 차단 기능에 의해 사용자가 팝업을 못 볼 수 있으므로, 반드시 필요한 경우에만 사용하는게 좋습니다. 그 외에는 모달이 권장됩니다.

모달창

• 기존 페이지 위에 오버레이 레이어로 구현
• 부모 페이지에 종속되어 있습니다.
• 브라우저의 팝업 차단 기능과 무관합니다.
• 부모 페이지가 이동 또는 새로고침되면 모달도 사라집니다.
• 별도의 브라우저 컨텍스트가 아니므로, 외부 도메인 페이지를 직접 포함할 수 없습니다. 이때 iframe을 생각하실 수 있는데 보안상 제약이 많아 불편합니다.

 

React에서는 상태(state)를 활용한 조건부 렌더링으로 팝업을 구현하거나, Toss의 오버레이 키트(Overlay Kit)같은 라이브러리를 사용하는 경우가 많습니다.

그런데도 여전히 window.open()이 편리하거나 필요한 상황이 있습니다.

 

1. 외부 도메인과의 연동: OAuth 인증, 결제 시스템 연동 등 다른 도메인의 페이지를 열어야 할 때
   
   • OAuth 인증이나 외부 결제 시스템 연동 시, 보안이나 사용자 인증 후 콜백등의 UX 적인 이유로 별도 창이 필요합니다.
   • 이때 window.open()을 사용하면 부모-자식 창 간 통신이나 창 닫힘 감지 등의 처리가 쉬워져요.
   • 모달로는 외부 도메인 페이지를 iframe으로 띄우는 것이 CORS, X-Frame-Options 또는 Content-Security-Policy 등의 보안 정책등의 이유로 불편합니다.
2. 프린트 기능: 특정 콘텐츠만 프린트하기 위한 별도 창이 필요할 때
   • 새 창에 해당 콘텐츠만 렌더링하고 window.print()를 호출하는 방식이 많이 사용됐습니다.
   • 모달이나 오버레이로는 전체 페이지의 일부만 깔끔하게 인쇄하는 인쇄 범위 제어가 어려워 기존 페이지 전체가 인쇄됩니다.
   • 따라서 새 창이 가장 간단하고 확실한 방법이라 생각합니다.
3. 멀티태스킹 UX: 사용자가 두 화면을 동시에 보며 작업해야 할 때
   • 두 개의 창을 동시에 화면에 띄워 상호 비교 작업하려면 창 분리가 필요합니다.
   • 모달은 항상 부모 창 위에 떠 있기 때문에 두 화면을 동시에 볼 수 없습니다.
   • 따라서 새 창을 띄우는 것이 유일한 방법입니다.
4. 레거시 시스템 통합: 기존 시스템과의 호환성을 위해 필요한 경우
   • 기존 시스템에서 팝업 창을 통한 데이터 교환이나 인증 등의 구조가 이미 window.open()에 맞춰져 있다면, 이를 모달로 대체하는 경우 호환성 이슈가 발생할 수 있습니다.
5. 별도 윈도우 기능: 부모 창의 새로고침이나 이동에도 유지되어야 하는 독립적 기능
   • 모달이나 SPA 컴포넌트로는 구현이 불가능합니다.
   • 새로운 팝업창만이 완전히 별도의 브라우저 컨텍스트를 제공합니다.

 

이런 경우에는 window.open()을 사용해야 하는데, 안전하고 올바른 방법을 알아보겠습니다.

window.open('javascript:focus()', 'myPopup', 'width=800,height=600');

 

겉보기엔 잘 작동할 수 있지만, 이 방식은 보안상 문제가 있으며 공식적으로 권장되지 않는 방식입니다.

이번 글에선 그 이유에 대해 적어보려합니다! 또한 어떤 방식이 안전하고 표준에 부합하는지도 알아보겠습니다.

 

 

javascript:focus() 방식의 위험성

이 방식은 javascript: URL 스킴을 이용해 새 창을 열면서 focus() 함수를 실행하려는 의도입니다. 하지만 이런 방식은 보안상 취약합니다.

 

MDN 공식 문서에서는 다음과 같이 명확히 경고하고 있습니다.

"Use of javascript: URLs on the web is discouraged as it may lead to execution of arbitrary code, similar to the ramifications of using eval()."

 

또한, ESLint에서도 no-script-url 규칙을 통해 javascript: URL 스킴 사용을 금지하거나 경고하고 있습니다. 이는 코드가 외부 입력에 의해 조작되거나 악용될 수 있기 때문입니다.

 

요약하자면

• 보안상 위험 (임의 코드 실행 가능성)
• XSS(크로스 사이트 스크립팅) 공격의 벡터가 될 수 있음
• 최신 브라우저 및 린터 차단 대상
• 유지보수와 의도 파악이 어려움

 

표준적이고 안전한 방법: about:blank 또는 빈 문자열

팝업을 안전하게 열고 싶다면, 권장되는 방식은 다음과 같습니다.

const popup = window.open('about:blank', 'myPopup', 'width=800,height=600');
if (popup) {
  popup.location.href = '/your-target-page';
  popup.focus(); // 필요 시 포커스 이동
}

 

또는 아예 빈 문자열도 사용할 수 있습니다.

const popup = window.open('', 'myPopup', 'width=800,height=600');

 

이 방식은 다음과 같은 장점이 있습니다.

• 보안상 안전함
• 표준 웹 API 사용법을 준수
• 코드 의도가 명확함
• 공식 문서(MDN, W3C 등)에서도 권장하는 방식

 

javascript:focus()의 목적과 오해

많은 개발자들이 javascript:focus()를 초기 URL로 넣는 이유는 다음과 같습니다.

• 빈 창을 열 때 팝업이 차단되는 현상을 우회하려고
• 창을 연 직후 자동으로 포커스를 주려고

하지만 최신 브라우저는 다음과 같은 특성이 있습니다.

1. 사용자 클릭 이벤트 내부에서 window.open()을 호출하면 대부분 차단하지 않습니다
2. 포커스가 필요하다면 popup.focus()를 명시적으로 호출하는 것이 훨씬 더 명확하고 안전합니다
3. 일부 최신 브라우저에서는 보안 정책으로 인해 javascript: URL이 작동하지 않을 수 있습니다

즉, javascript:focus()는 과거에는 통했을지 몰라도, 현대 웹 보안 환경에서는 적절하지 않은 방식입니다.

 

URL 객체와 javascript: URL은 완전히 다릅니다

혹시 URL이라는 단어 때문에 다음과 같은 문법을 떠올리신 분도 계실 텐데요?!

const url = new URL(window.location.href);
const tag = url.searchParams.get('tag');

 

이건 URL 정보를 분석하고 조작하기 위한 객체로, 주소 파싱을 위해 아주 유용하게 쓰입니다. 예를 들어 쿼리 파라미터 추출, 경로 조작 등에 자주 사용됩니다.

 

반면 'javascript:...'는 브라우저에 자바스크립트를 직접 실행하라고 명령하는 스킴이기 때문에, 목적도 쓰임도 완전히 다릅니다.

 

항목설명 - 사용 용도

new URL(...)	주소 파싱을 위한 URL 객체	안전하고 표준적인 방법
'javascript:focus()'	실행 코드를 URL에 넣는 방식	보안상 위험, 비권장 방식

 

부모-자식 창 관계와 제어

window.open()으로 열린 팝업은 부모 페이지와 밀접한 관계를 가집니다. 이를 활용하거나 주의해야 할 점이 있습니다.

 

부모 페이지에서 자식 창 제어하기

팝업을 연 부모 페이지는 반환된 참조를 통해 자식 창을 완전히 제어할 수 있습니다.

const popup = window.open('about:blank', 'myPopup');
// 자식 창 내용 변경
popup.document.body.innerHTML = '<h1>부모가 변경한 내용</h1>';
// 자식 창 크기/위치 조정
popup.resizeTo(500, 300);
popup.moveTo(100, 100);
// 자식 창 종료
popup.close();

 

자식 창 종료 시나리오

여러 상황에서 자식 창이 자동으로 종료될 수 있습니다.

1. 부모 페이지 이동 또는 새로고침 시

   // 페이지 이동 전에 자식 창 닫기
   window.addEventListener('beforeunload', () => {
     if (popup && !popup.closed) {
       popup.close();
     }
   });

    

2. 다른 SPA 라우트로 이동 시
    

   // React Router 등의 라우트 변경 이벤트에 연결
   router.beforeEach((to, from, next) => {
     if (window.myPopup && !window.myPopup.closed) {
       window.myPopup.close();
     }
     next();
   });

 

자식 창이 부모 페이지 감지하기

자식 창에서는 부모 창의 존재와 상태를 확인할 수 있습니다.

// 자식 창에서 부모 창 확인 및 대응하기
if (window.opener && !window.opener.closed) {
  // 부모 창이 존재하고 열려있음
  console.log('부모 창 URL:', window.opener.location.href);
} else {
  // 부모 창이 닫혔거나 없음
  console.log('독립적으로 실행 중');
}

 

브라우저 호환성과 추가 고려사항

최신 브라우저들은 window.open()에 대해 점점 더 엄격한 정책을 적용하고 있습니다.

• Chrome, Safari: 사용자 제스처(클릭 등) 없이 window.open()을 호출하면 차단됩니다
• Firefox: 팝업 차단 설정에 따라 동작이 달라집니다
• 모바일 브라우저: 많은 모바일 브라우저에서 팝업 자체를 제한적으로 지원합니다

따라서 팝업 대신 모달이나 인라인 콘텐츠를 고려하는 것도 좋은 대안이 될 수 있습니다:

// 특별한 이유가 없다면 팝업 대신 모달을 고려해보세요
document.getElementById('openModal').addEventListener('click', () => {
  document.getElementById('myModal').style.display = 'block';
});

 

요약 및 결론

• 모던 프레임워크가 주류인 지금도 OAuth, 결제 연동, 프린트 기능 등을 위해 window.open()이 필요한 상황이 있습니다.
• javascript:focus() 방식은 보안상 위험하고, MDN 및 ESLint에서도 사용을 권장하지 않습니다.
• 팝업을 열 때는 about:blank나 빈 문자열을 사용하고, 그 이후에 popup.location.href와 popup.focus()를 사용하는 방식이 가장 표준적이고 안전합니다.
• 부모 페이지에서는 팝업 창을 완전히 제어할 수 있으며, 페이지 전환 시 팝업 창을 적절히 관리(종료)해야 합니다.
• React 같은 프레임워크에서는 useRef와 useEffect를 활용해 팝업의 생명주기를 컴포넌트와 연동할 수 있습니다.
• URL 객체와 javascript: URL은 개념이 완전히 다르므로 혼동하지 마세요.

특정 상황에서는 window.open이 여전히 적절한 선택일 수 있습니다. 이런 경우에도 더 안전한 방식으로 코딩해 보시는 건 어떨까요?!

궁금하신 점이 있다면 언제든지 댓글로 남겨주세요! 

 

 

📃 참고 문헌

JAVASCRIPT.INFO - Popups and window methods

W3 Schools - Window open()

eslint/no-script-url

MDN Web Docs

Popup or Modal