XSS란?
웹 애플리케이션에서 입력값에 대한 검증이 이뤄지지 않은상태에서, 공격자가 입력 폼(문자열을 입력할 수 있는 화면)에서 악의적인 스크립트를 삽입하여 희생자 측에서 의도하지 않은 스크립트가 실행되는 공격방법입니다.
대응방법
1. 입력값에 대한 검증을 서버단에서 검증한다.
Spring의 경우 네이버에서 만든 lucy-XSS-filter 라이브러리를 사용하면 되나, 송수신하는 데이터 포맷형식이 JSON형식 이라면 XSS Filter가 적용되지 않는다.
2. 입력문자열에서 HTML 코드로 인식되는 특수문자들을 일반 문자열로 치환한다.
| HTML 특수문자 | HTML Entity | HTML 특수문자 | HTML Entity |
| < | < | # | # |
| > | > | / | / |
| ( | ( | ||
| ) | ) | ||
| & | & | ||
| " | " | ||
| ' | ' |
참조
'CS' 카테고리의 다른 글
| SOAP에 대해서 알아보자 (0) | 2020.12.02 |
|---|---|
| 플랫폼 API 호출 시 발생하는 오류 CORS란 무엇인가? (0) | 2020.12.02 |
| HTTP에 대해서 알아보자 (0) | 2020.11.30 |
