이미지 로드 c:url 관련 궁금 한 것이 있어 질문합니다.
- 작성자 :
- 김*규
- 작성일 :
- 2014-11-06 10:19:50
- 조회수 :
- 716
- 구분 :
- 개발환경
- 진행상태 :
- 완료
Q
egov 샘플을 보면 이미지를 로드 할 시 (예를 들어 /image/temp.jpg 를 로드한다면...)
예시 ) <img src="'<c:url value="/" />'image/temp.jpg" />
이런 식으로 되어 있습니다.
그럼 여기서 질문 드리겠습니다.
1. <img src="'<c:url value="/image/temp.jpg" />'" /> 이런 방식으로 사용 하면 안되나요?
2. 예시와 같은 방법을 사용한 이유가 무엇인가요?
3. 1번의 질문 처럼 사용 하면 시큐어 코딩에 위배되는가요?
답변 부탁드립니다...^-^ 수고하세요...
예시 ) <img src="'<c:url value="/" />'image/temp.jpg" />
이런 식으로 되어 있습니다.
그럼 여기서 질문 드리겠습니다.
1. <img src="'<c:url value="/image/temp.jpg" />'" /> 이런 방식으로 사용 하면 안되나요?
2. 예시와 같은 방법을 사용한 이유가 무엇인가요?
3. 1번의 질문 처럼 사용 하면 시큐어 코딩에 위배되는가요?
답변 부탁드립니다...^-^ 수고하세요...
A
안녕하세요. 김동규님.
우선 시큐어 코딩에서 value="${FirstName}" 형태의 경우 사용자가 javascript 구문등을 html 코드내에 삽입 할 가능성이 있는 구문으로 탐색되어 위험한 구문으로 탐지 될 가능성이 있어,
일반적으로 ${FirstName} 방식은 하용하지 않도록 권장하고 있는 것 같습니다.
또한 <c:url> 태그는 URL 재작성은 해주지만 URL 인코딩은 해주지 않습니다. 따라서 ${FirstName}방식을 사용하지 않기위해, URL 재작성 후 뒤쪽의 path 부분은 JSP상에 직접 집어넣어 처리를 한 것 같아 보입니다.
무었보다, 시큐어 코딩의 경우 다양한 경우 및 상황에 따라 맞추어 개발 하시는 것이 젤 나아 보입니다.
따라서 egov 샘플을 참고 하시어 각 프로젝트에 맞도록 커스터마이징 하셔서 사용 하시면 될 것 같습니다.
그럼 오늘도 좋은하루 보내시기 바랍니다.
감사합니다.
우선 시큐어 코딩에서 value="${FirstName}" 형태의 경우 사용자가 javascript 구문등을 html 코드내에 삽입 할 가능성이 있는 구문으로 탐색되어 위험한 구문으로 탐지 될 가능성이 있어,
일반적으로 ${FirstName} 방식은 하용하지 않도록 권장하고 있는 것 같습니다.
또한 <c:url> 태그는 URL 재작성은 해주지만 URL 인코딩은 해주지 않습니다. 따라서 ${FirstName}방식을 사용하지 않기위해, URL 재작성 후 뒤쪽의 path 부분은 JSP상에 직접 집어넣어 처리를 한 것 같아 보입니다.
무었보다, 시큐어 코딩의 경우 다양한 경우 및 상황에 따라 맞추어 개발 하시는 것이 젤 나아 보입니다.
따라서 egov 샘플을 참고 하시어 각 프로젝트에 맞도록 커스터마이징 하셔서 사용 하시면 될 것 같습니다.
그럼 오늘도 좋은하루 보내시기 바랍니다.
감사합니다.