게시판 XSS 처리 재질문
- 작성자 :
- 구*영
- 작성일 :
- 2014-02-21 10:58:31
- 조회수 :
- 1,117
- 구분 :
- 기타
- 진행상태 :
- 완료
Q
HTMLTagFilter 삭제 후 c:out만 사용하는 상황입니다.
EgovNoticeUpdt.jsp 파일에서 nttCn 부분에 <c:out value="${result.nttCn}" escapeXml="false"/>로 처리되어있습니다.
EgovNoticeInqire.jsp 에도 똑같이 있는데 이부분은 스크립트 구문으로 잘 나타납니다.
게시물 등록 후 수정시 스크립트가 작동하는데 어떻게 해야하죠?
db엔 XSS 처리된 값으로 저장됩니다.
EgovNoticeUpdt.jsp 파일에서 nttCn 부분에 <c:out value="${result.nttCn}" escapeXml="false"/>로 처리되어있습니다.
EgovNoticeInqire.jsp 에도 똑같이 있는데 이부분은 스크립트 구문으로 잘 나타납니다.
게시물 등록 후 수정시 스크립트가 작동하는데 어떻게 해야하죠?
db엔 XSS 처리된 값으로 저장됩니다.
A
안녕하세요. 구소영님
수정시 스크립트를 작동하지 않기 위해서는
c:out 태그에 escapeXml="false" 설정을 삭제하시면 됩니다.
escapeXml="false"설정은
출력할 시에 >,< 등의 내용을 있는 그대로 보여주는 옵션입니다.
기본값은 true이며, true 일 때에는
요청하시는 부분이 입력할때에는
< 대신에 & lt
> 대신에 & gt 등으로 출력합니다.
고맙습니다.
수정시 스크립트를 작동하지 않기 위해서는
c:out 태그에 escapeXml="false" 설정을 삭제하시면 됩니다.
escapeXml="false"설정은
출력할 시에 >,< 등의 내용을 있는 그대로 보여주는 옵션입니다.
기본값은 true이며, true 일 때에는
요청하시는 부분이 입력할때에는
< 대신에 & lt
> 대신에 & gt 등으로 출력합니다.
고맙습니다.
