XSS 방어용 문자 필요 여부 확인
- 작성자 :
- 이*원
- 작성일 :
- 2024-07-05 16:59:17
- 조회수 :
- 131
- 구분 :
- 공통컴포넌트 / 기타
- 진행상태 :
- 완료
Q
안녕하세요?
예전에 xss 방어를 위해 입력 문자에 대해 치환 처리를 했습니다.
예를 들면 replaceAll("<", "<") 이런 식으로 치환 후 데이터베이스에 저장했는데요.
현재 제공되는 전자정부 프레임워크에서 xxs 방어를 위한 치환 처리를 지원하는지요?
또한, 과거에 저장된 데이터(예. <)는 자동으로 치환 후 출력되는지 궁금합니다.
질문1) xss 방어를 위한 특수 문자 자동 치환 가능 여부?
질문2) xss 방어를 위한 특수 문자 자동 치환이 가능하다면 전자정부프레임워크 최소 버전은?
질문3) 전자정부프레임워크 내 자동 치환이 불가하다면 치환 대상 특수문자는 어떤것이 있을까요?
바쁘시겠지만 답변 부탁드립니다.
감사합니다.
예전에 xss 방어를 위해 입력 문자에 대해 치환 처리를 했습니다.
예를 들면 replaceAll("<", "<") 이런 식으로 치환 후 데이터베이스에 저장했는데요.
현재 제공되는 전자정부 프레임워크에서 xxs 방어를 위한 치환 처리를 지원하는지요?
또한, 과거에 저장된 데이터(예. <)는 자동으로 치환 후 출력되는지 궁금합니다.
질문1) xss 방어를 위한 특수 문자 자동 치환 가능 여부?
질문2) xss 방어를 위한 특수 문자 자동 치환이 가능하다면 전자정부프레임워크 최소 버전은?
질문3) 전자정부프레임워크 내 자동 치환이 불가하다면 치환 대상 특수문자는 어떤것이 있을까요?
바쁘시겠지만 답변 부탁드립니다.
감사합니다.
환경정보
-
- OS 정보 : Red hat 계열
- 표준프레임워크 버전 : 4.1
- JDK(JRE) 정보 : 1.8
- WAS 정보 : Tomcat 9 이상
- DB 정보 : Oracle 12C
- 기타 환경 정보 :
A
안녕하세요.
표준프레임워크 센터입니다.
표준프레임워크에서는
공통컴포넌트 All-in-one 템플릿을 기준으로
DB 저장 시에는 HTMLTagFilter를 통해 "일괄적"으로 XSS 취약점을 방지 처리를 하고 있으며
화면으로 출력 시에는 JSTL의 <c:out> 태그를 통해
"각각의 요소"에 대한 XSS 취약점 방지 처리를 하고 있습니다.
표준프레임워크 최초 개발 버전부터 지속 적용되고 있으므로
운영 환경에 맞는 가장 최신 버전 사용을 권장 드립니다.
감사합니다.
표준프레임워크 센터입니다.
표준프레임워크에서는
공통컴포넌트 All-in-one 템플릿을 기준으로
DB 저장 시에는 HTMLTagFilter를 통해 "일괄적"으로 XSS 취약점을 방지 처리를 하고 있으며
화면으로 출력 시에는 JSTL의 <c:out> 태그를 통해
"각각의 요소"에 대한 XSS 취약점 방지 처리를 하고 있습니다.
표준프레임워크 최초 개발 버전부터 지속 적용되고 있으므로
운영 환경에 맞는 가장 최신 버전 사용을 권장 드립니다.
감사합니다.