누네띄네
171
2021-09-29 13:34:55 작성 2021-09-29 13:35:46 수정됨
4
220

크로스사이트 스크립트 취약점문제 질문드려요.


web,xml 에 필터기능을 걸어서  크로스사이트 스크립트 취약점문제는 해결하였습니다.

그후에 문제가 생겼는대..

저희사이트에 글쓰는 기능이 에디터를 이용하여 글을 입력합니다. okky사이트처럼 이럴경우 저장할때 html태그에 들어가는 특수문자가 다 치환되어 저장되어 문제가 발생합니다.

혹시 이럴때 에디터기능과  크로스사이트 스크립트 취약점문제를 다 해결할 수 있는 방법이있을까요? 

저의 모자란 지식으로는 둘다 해결할 수 없을거같아서... 고수님들 답변 부탁드려요 ㅠㅠ

저희가쓰는 에디터는 smartEditor 입니다.

0
  • 답변 4

  • 누네띄네
    171
    2021-09-29 13:59:15

    아 치환이 답이군요 정말감사합니다.

  • 콘푸로스트
    3k
    2021-09-29 14:02:30

    스크립트 태그를 제거시키면 됩니다.

    제거 방법은 많이 있습니다


    그중에 가장 고전적인 방법으로는 html 숫자로 변경하는거죠

    .replace("<SC", "&lt;&#83;&#67;")
    .replace("<sc", "&lt;&#115;&#99;")
    .replace("<Sc", "&lt;&#83;&#99;")
    .replace("<sC", "&lt;&#115;&#67;");

  • 누네띄네
    171
    2021-09-29 17:27:48

    스크립트태그만 치환하는게 빠르겠군요! 

  • LRTK
    6
    2021-10-01 12:25:59

    콘푸로스트님의 방법은 굉장히 위험한 방법입니다.

    <img src=# onload="alert(1)">

    위와 같은 방법으로 XSS를 우회할 수 있습니다.


    차라리 에디터에 꼭 써야하는 태그만 화이트리스트로 만들어서 관리하시는게 좋을 거 같습니다

  • 로그인을 하시면 답변을 등록할 수 있습니다.