앙앙이
3k
2018-09-04 18:47:50
3
237

자바로 구현된 summernote WYSIWYG editor 사용시 code injection 방어할 검증된 라이브러가 있나요?


 java(or servlet/jsp) 로 만든 게시판에 WYSIWYG editor 를 달아 줄려고 합니다.

그래서 찾은것이 오키에서 사용하는 summernote(https://summernote.org/) 인데요.

아래 부분 인용에서 보듯이 script 가 포함되어 있으니 서버에서 정제(?) 하라고 합니다.


멘땅에 헤딩할 자신이 없으니 

자바로 구현된 summernote WYSIWYG editor 사용시 code injection 방어할 검증된 라이브러를 찾습니다.


검증된 라이브러리가 없다면 어떻게 구현해야 할지 막막하네요.


------------------ 부분 인용

참고 주소 : https://github.com/summernote/summernote

Warning - code injection
The code view allows the user to enter script contents. Make sure to filter/sanitize the HTML on the server. Otherwise, an attacker can inject arbitrary JavaScript code into clients.

0
1
  • 답변 3

  • 메로메로
    169
    2018-09-04 19:15:40

    아래의 라이브러리 사용하여 script와 iframe 제거, on으로 시작하는 모든 어트리뷰트 다 삭제하여 사용중입니다.

    https://jsoup.org

    1
  • 즈루시
    10k
    2018-09-04 23:59:49

    neko html 로 정제처리 했던 기억이 있습니다.

    가장 최근이 2015년이네요. 참고만 하세요 :)

    https://mvnrepository.com/artifact/net.sourceforge.nekohtml/nekohtml

    1
  • 앙앙이
    3k
    2018-09-06 10:49:30

      '메로메로' 님, '즈루시' 님 두분 모두 답변 감사합니다.

    현재 제가 게시판 서버 모듈에 대한 단위 테스트 작성중인지라 그 작업이 마치면

    알려주신 내용 학습하여 붙여 보도록 하겠습니다.

    좋은 답변 감사합니다. ^^

    0
  • 로그인을 하시면 답변을 등록할 수 있습니다.