처리중입니다.
잠시만 기다려주십시오.
이 누리집은 대한민국 공식 전자정부 누리집입니다.
김*한
2024-08-27 09:01:57
304
개발환경 / 4.1
완료
안녕하세요.
지금 취약점 관련해서 화면에서 콘트롤러로 ajax통신으로 보내는 데이터를 필터에서 가로채 value값에다가 문자열 필터링을 하려고 합니다.
근데 이상하게 스프링 시큐리티를 통과화면 web.xml에 선언한 필터(chain.dofilter로 필터 거치는 것 확인) 가 post방식의 key, value값들은 못가져오고 있습니다.
request.getMethod() 하면 post, get방식이 나오고 post는 key, value값이 안찍히고 get방식의 데이터들은 잘 출력됩니다.
로그인을 통과하고 못가져오는것이 context-security 때문이라는 생각이 들어 설정을 찾아보니 sqlRolesAndMethod가 있었습니다.
저희 환경에서는 method로 시큐리티 기능을 사용 안하고 있어 select가 안나오는 sql을 설정하고 있습니다.
security에서 sqlRolesAndMethod로 post, get방식을 통제할 수 있는지, 아니면 필터에서 post방식의 데이터를 못가져오게 하는 설정이 따로 존재하는지 궁금해 올립니다.
안녕하세요.
표준프레임워크센터입니다.
표준프레임워크 공통컴포넌트 All-in-one 템플릿 환경에서
스프링 시큐리티에서 커스텀 필터의 처리를 강제하는 기능은 없습니다.
질문하신 내용을 바탕으로
센터에서 커스텀 필터를 구성한 후 테스트한 결과도
POST, GET 방식 모두 데이터를 확인할 수 있었습니다.
필터 구성이나 설정 등을 한번 더 확인해보시기 바랍니다.
감사합니다.