보통 태그를 허용해야 하는 경우 XSS 공격을 어떻게 처리하나요?

Question

안녕하세요. editor를 이용해서 게시판 부분을 구현 중에 xss 공격을 어떻게 처리해야 할 지에 대해서 고민하다 막혀 질문드립니다.태그를 허용하지 않는 경우 괜찮은 filter 라이브러리를 사용해서 전부 막아버리면 좀 나을 것 같은데 기본적인 태그는 물론 img나 iframe media태그 등을 허용해야 하는 상황에서 xss 공격을 어떻게 막아야 할 지 감이 오지 않습니다..ㅠOKKY를 포함한 일반적인 커뮤니티 사이트를 보면 대부분 게시글에 이미지를 첨부하는 등의 기능을 포함하고 있던데, 실무에서는 어떤 식으로 처리하고 있는 건가요?

defult · Answer

https://www.mois.go.kr/frt/bbs/type001/commonSelectBoardArticle.do;jsessionid=TjAX2IwVk6hpONx8dKSZ4VTj.node10?bbsId=BBSMSTR_000000000015&nttId=88956

하얀뼈 · Answer

이스케이핑 처리해야죠. db에 들어갈때는 &lt; 로 바꿔서 들어갑니다.

보통 태그를 허용해야 하는 경우 XSS 공격을 어떻게 처리하나요?

2개의 답변

#xss 목록