크로스사이트스크립트
- 작성자 :
- a*j
- 작성일 :
- 2021-03-24 15:08:10
- 조회수 :
- 6,478
- 구분 :
- 개발환경 / 3.8
- 진행상태 :
- 완료
Q
안녕하세요.
XSS 방지를 위해 다음과 같이 Map으로 바인딩 된 경우도 처리되는 필터 적용했습니다.
web.xml
<filter>
<filter-name>HTMLTagFilter</filter-name>
<filter-class>egovframework.com.cmm..filter.HTMLTagFilter</filter-class>
</filter>
<filter-mapping>
<filter-name>HTMLTagFilter<filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
url 주소 입력창에 스크립트 입력시 실행되는데 어떻게 조치를 취해야하는지 알려주시면 감사하겠습니다.
XSS 방지를 위해 다음과 같이 Map으로 바인딩 된 경우도 처리되는 필터 적용했습니다.
web.xml
<filter>
<filter-name>HTMLTagFilter</filter-name>
<filter-class>egovframework.com.cmm..filter.HTMLTagFilter</filter-class>
</filter>
<filter-mapping>
<filter-name>HTMLTagFilter<filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
url 주소 입력창에 스크립트 입력시 실행되는데 어떻게 조치를 취해야하는지 알려주시면 감사하겠습니다.
A
안녕하세요.
표준프레임워크센터입니다.
해당 HTMLTagFilter가 모든 요청URL을 필터링되도록 적용이 되었다면, 스크립트가 전송되더라도 브라우저에서 실행되지 않아야 정상입니다.
해당 필터가 정상적으로 적용이 되었는지,
요청이 되었을때 필터가 정상적으로 작동이 되는지 (로그 확인) 다시한번 확인해보시기 바랍니다.
참고로 디테일한 XSS 설정이 가능한 오픈소스로 naver의 lucy-xss-servlet-filter 도 참고하셔서 사용을 고려해보시면 좋을것 같습니다.
lucy-xss-servlet-filter 바로가기
감사합니다.
표준프레임워크센터입니다.
해당 HTMLTagFilter가 모든 요청URL을 필터링되도록 적용이 되었다면, 스크립트가 전송되더라도 브라우저에서 실행되지 않아야 정상입니다.
해당 필터가 정상적으로 적용이 되었는지,
요청이 되었을때 필터가 정상적으로 작동이 되는지 (로그 확인) 다시한번 확인해보시기 바랍니다.
참고로 디테일한 XSS 설정이 가능한 오픈소스로 naver의 lucy-xss-servlet-filter 도 참고하셔서 사용을 고려해보시면 좋을것 같습니다.
lucy-xss-servlet-filter 바로가기
감사합니다.