XSS 공격 방어에 대한 문의 입니다
- 작성자 :
- 눈*왕
- 작성일 :
- 2024-03-28 01:31:54
- 조회수 :
- 302
- 구분 :
- 적용지원(기술지원)
- 진행상태 :
- 완료
Q
전자정부 프레임워크에서 XSS 공격에 대한 방어코드를 작성할때
다음 두가지 방법중에 어떤 것이 좀 더 표준 또는 권장하는 방법인지 궁금합니다
1. DB 에 처음부터 태그를 치환해서 넣고 화면에서 출력할때 필터해서 사용 (DB등록 예시 : <script/> )
2. DB 에는 원본그대로 넣고 jsp 화면에 출력할때만 필터하는 코딩작성 (DB등록 예시 : <script> 이렇게 등록수 화면에서 replace 처리)
다음 두가지 방법중에 어떤 것이 좀 더 표준 또는 권장하는 방법인지 궁금합니다
1. DB 에 처음부터 태그를 치환해서 넣고 화면에서 출력할때 필터해서 사용 (DB등록 예시 : <script/> )
2. DB 에는 원본그대로 넣고 jsp 화면에 출력할때만 필터하는 코딩작성 (DB등록 예시 : <script> 이렇게 등록수 화면에서 replace 처리)
환경정보
-
- OS 정보 :
- 표준프레임워크 버전 :
- JDK(JRE) 정보 :
- WAS 정보 :
- DB 정보 :
- 기타 환경 정보 :
A
안녕하세요.
표준프레임워크 센터입니다.
표준프레임워크 공통컴포넌트에서
입력하여 DB로 저장시에는 HTMLTagFilter를 통해 XSS 방지 처리하고 있으며
화면에 출력시에는 <c:out value=""> 태그 사용으로 방지 처리가 되는 것을
배포되는 예제에서 참고 하실수 있습니다.
https://www.egovframe.go.kr/home/sub.do?menuNo=49
두 가지 방법을 모두 사용하여 예제를 제공하고 있으며
기재 하신 두가지 방식 모두 사용하시는 것을 추천 드립니다.
관련하여 보안 개발 가이드를 제공하고 있으니
참고 부탁 드립니다.
표준프레임워크 포털 알림마당 > 관련참고문서 > 표준프레임워크 보안 개발 가이드
https://www.egovframe.go.kr/home/ntt/nttRead.do?pagerOffset=0&searchKey=&searchValue=&menuNo=76&bbsId=171&nttId=1813
감사합니다.
표준프레임워크 센터입니다.
표준프레임워크 공통컴포넌트에서
입력하여 DB로 저장시에는 HTMLTagFilter를 통해 XSS 방지 처리하고 있으며
화면에 출력시에는 <c:out value=""> 태그 사용으로 방지 처리가 되는 것을
배포되는 예제에서 참고 하실수 있습니다.
https://www.egovframe.go.kr/home/sub.do?menuNo=49
두 가지 방법을 모두 사용하여 예제를 제공하고 있으며
기재 하신 두가지 방식 모두 사용하시는 것을 추천 드립니다.
관련하여 보안 개발 가이드를 제공하고 있으니
참고 부탁 드립니다.
표준프레임워크 포털 알림마당 > 관련참고문서 > 표준프레임워크 보안 개발 가이드
https://www.egovframe.go.kr/home/ntt/nttRead.do?pagerOffset=0&searchKey=&searchValue=&menuNo=76&bbsId=171&nttId=1813
감사합니다.