보안처리 관련
- 작성자 :
- 박*화
- 작성일 :
- 2014-08-21 12:06:37
- 조회수 :
- 785
- 구분 :
- 개발환경
- 진행상태 :
- 완료
Q
수고많으십니다.
전자정부프레임워크(ver 3.0)에서
SQL Injection 방지를 위해서 입력되는 문자열로 부터 <> "" 와 같은 문자를 인코딩하여 치환 하는걸로 알고 있습니다.
근데 이게 어떤 페이지는 작동이 되는데 어떤 페이지는 작동이 안됩니다.
즉,JSP 파일에서 입력창에서 <> "" 같은 문자를 입력하면 Controller에 그대로 전달됩니다.
어떤 Controller는 &xxx; 이런식으로 변경되는 것도 있고요.
왜 이런 현상이 발생하는지요?
답변부탁드립니다. 수고하세요.
전자정부프레임워크(ver 3.0)에서
SQL Injection 방지를 위해서 입력되는 문자열로 부터 <> "" 와 같은 문자를 인코딩하여 치환 하는걸로 알고 있습니다.
근데 이게 어떤 페이지는 작동이 되는데 어떤 페이지는 작동이 안됩니다.
즉,JSP 파일에서 입력창에서 <> "" 같은 문자를 입력하면 Controller에 그대로 전달됩니다.
어떤 Controller는 &xxx; 이런식으로 변경되는 것도 있고요.
왜 이런 현상이 발생하는지요?
답변부탁드립니다. 수고하세요.
A
안녕하세요.
먼저 말씀하신 기능은 SQL Injection을 위한 것이 아니라 XSS를 위한 것입니다.
web.xml에 선언된 HTMLTagFilter에 의해 매핑된 url에 대해서만 몇 개의 문자들이 변환되는 것 같습니다.
이 외에 다른 인터셉터나 필터에 의해 변환이 될 수도 있습니다.
또한 첨부파일이 포함된 경우에는 HTMLTagFilter가 동작하지 않습니다.
감사합니다.
먼저 말씀하신 기능은 SQL Injection을 위한 것이 아니라 XSS를 위한 것입니다.
web.xml에 선언된 HTMLTagFilter에 의해 매핑된 url에 대해서만 몇 개의 문자들이 변환되는 것 같습니다.
이 외에 다른 인터셉터나 필터에 의해 변환이 될 수도 있습니다.
또한 첨부파일이 포함된 경우에는 HTMLTagFilter가 동작하지 않습니다.
감사합니다.