xss 처리 문의
- 작성자 :
- 김*호
- 작성일 :
- 2019-03-13 10:34:59
- 조회수 :
- 1,460
- 구분 :
- 기타
- 진행상태 :
- 완료
Q
안녕하세요. 질문을 잘못 드린거 같아 다시 질문 드립니다.
현재 필터 등을 사용하지 않고 데이터를 그대로 저장 후, jstl의 c:out 을 이용하여 xss를 처리하고 있습니다.
그런데 jsp에서 ajax를 통하여 json형태로 리턴을 받는 경우 xss를 처리하는 방법은 어떤 것이 있는지 문의 드립니다.
ex)
$. ajax({
type : "post",
url : "<c:url value='.....' />",
data : dataString,
dataType : "json",
success : function (data) {
process ...
}
});
json 형태로 받은 data 파리미터가 {"name":"< script >alert('aaa');< /script >"} 일 경우
감사합니다.
현재 필터 등을 사용하지 않고 데이터를 그대로 저장 후, jstl의 c:out 을 이용하여 xss를 처리하고 있습니다.
그런데 jsp에서 ajax를 통하여 json형태로 리턴을 받는 경우 xss를 처리하는 방법은 어떤 것이 있는지 문의 드립니다.
ex)
$. ajax({
type : "post",
url : "<c:url value='.....' />",
data : dataString,
dataType : "json",
success : function (data) {
process ...
}
});
json 형태로 받은 data 파리미터가 {"name":"< script >alert('aaa');< /script >"} 일 경우
감사합니다.
A
안녕하세요.
표준프레임워크센터 입니다.
ajax로 받는 수신 하는 부분에서
처리하기에는 제약이 많을 것으로 판단 됩니다.
servlet을 직접 경우하지 않기 때문에
jstl의 c:out도 사용이 불가능 합니다.
개인적인 생각으로
별도의 gateway페이지를 두어서
예를 들면
gateway.do에서 다른곳의 정보를 수신하여
중계하는 방식은 어떨까 합니다.
해당부분을 고려하시는 것은
보내주는 쪽이 신뢰할수 없거나
한번더 검증을 하시고자 하는거 같은데
상황에 맞게 검토가 필요하실듯 합니다.
감사합니다.
표준프레임워크센터 입니다.
ajax로 받는 수신 하는 부분에서
처리하기에는 제약이 많을 것으로 판단 됩니다.
servlet을 직접 경우하지 않기 때문에
jstl의 c:out도 사용이 불가능 합니다.
개인적인 생각으로
별도의 gateway페이지를 두어서
예를 들면
gateway.do에서 다른곳의 정보를 수신하여
중계하는 방식은 어떨까 합니다.
해당부분을 고려하시는 것은
보내주는 쪽이 신뢰할수 없거나
한번더 검증을 하시고자 하는거 같은데
상황에 맞게 검토가 필요하실듯 합니다.
감사합니다.