xss 처리문제
- 작성자 :
- 최*범
- 작성일 :
- 2012-06-26 11:19:55
- 조회수 :
- 1,915
- 구분 :
- 실행환경
- 진행상태 :
- 완료
Q
전자정부 공통 프레임웍을 셈플로 작업중입니다.
전달값에 특수문자 예를들어 &, <, > 의 xss 처리 옵션이 별도로 존재하나요??
여러 소스 분석결과 multipart 로 전달시에는 그대로 값이 전달되고, 일반 전송시에는 xss 처리가 되는것 같습니다.
일반 전송시에 xss 처리없이 값을 전달하고 싶습니다.
답변 부탁드립니다.
ps. multipart로 전송시 일반 텍스트박스는 db 에 그대로 저장되고
에디터를 통한 데이터 전달은 xss 처리되어 db에 저장되는군요.
전달값에 특수문자 예를들어 &, <, > 의 xss 처리 옵션이 별도로 존재하나요??
여러 소스 분석결과 multipart 로 전달시에는 그대로 값이 전달되고, 일반 전송시에는 xss 처리가 되는것 같습니다.
일반 전송시에 xss 처리없이 값을 전달하고 싶습니다.
답변 부탁드립니다.
ps. multipart로 전송시 일반 텍스트박스는 db 에 그대로 저장되고
에디터를 통한 데이터 전달은 xss 처리되어 db에 저장되는군요.
A
안녕하세요.. 최규범님..
XSS를 위한 처리는 다음과 같이 2가지 방법이 있습니다.
첫번째는.. 입력 시에는 변환없이 처리하고.. 표시할 때에 문제가 되는 부분을 변환해서.. 표시해 주는 방법입니다..
이 방법은.. 표시해 줄 때에만.. <c:out> (JSTL의 core taglib)로 처리하시면 됩니다. (프로젝트 생성 시 만들어지는 예제 등 표준프레임워크의 예제들 참조)
두번째 방법은.. 입력 시에 문제가 되는 부분을 변환해 주고.. 표시 시에는 그냥 처리하시는 방법입니다.
이 경우는 web.xml 상에 filter로 처리할 수 있는데.. 표준프레임워크의 공통컴포넌트에서 HTMLTagFilter를 제공하고 있습니다.
이 경우의 단점은.. multipart를 사용하실 경우 해당 필터가 동작하지 않고... <c:out>과 함께 사용하시면 중복 처리로 인하여 입력한 값을 그대로 보실 수 없습니다. (예: &가 아닌 &가 화면에 표시)
그래서.. 일반적인 경우는 첫번째 방식을 가이드해드리고 있습니다.
최규범님의 경우는 web.xml에서 HTMLTagFilter를 제외시키시면 되실 것 같습니다.
그럼.. 즐거운 하루되십시오.
감사합니다.
XSS를 위한 처리는 다음과 같이 2가지 방법이 있습니다.
첫번째는.. 입력 시에는 변환없이 처리하고.. 표시할 때에 문제가 되는 부분을 변환해서.. 표시해 주는 방법입니다..
이 방법은.. 표시해 줄 때에만.. <c:out> (JSTL의 core taglib)로 처리하시면 됩니다. (프로젝트 생성 시 만들어지는 예제 등 표준프레임워크의 예제들 참조)
두번째 방법은.. 입력 시에 문제가 되는 부분을 변환해 주고.. 표시 시에는 그냥 처리하시는 방법입니다.
이 경우는 web.xml 상에 filter로 처리할 수 있는데.. 표준프레임워크의 공통컴포넌트에서 HTMLTagFilter를 제공하고 있습니다.
이 경우의 단점은.. multipart를 사용하실 경우 해당 필터가 동작하지 않고... <c:out>과 함께 사용하시면 중복 처리로 인하여 입력한 값을 그대로 보실 수 없습니다. (예: &가 아닌 &가 화면에 표시)
그래서.. 일반적인 경우는 첫번째 방식을 가이드해드리고 있습니다.
최규범님의 경우는 web.xml에서 HTMLTagFilter를 제외시키시면 되실 것 같습니다.
그럼.. 즐거운 하루되십시오.
감사합니다.