java
XSS 관련
gt1000
2011. 5. 31. 20:11
http://groups.google.com/group/ksug/msg/31acb93c2293cd6?pli=1
[원문글 중에서]
참고로 XSS 필터는 무조건 White List 방식을 써야합니다.
XSS를 블랙리스트로 할 경우 나중에 브라우저에 추가되는 버그에 대응할 수
없기 때문입니다.
게다가 요즘엔 브라우저 종류도 너무 다양하죠.
White List 방식으로 해서 안전성이 검증된 태그와 속성, 속성값만을 받아들
여야 합니다.
머리가 나쁜건지, 저 방식을 읽고 적용할 엄두를 내지 못하고 있다.
우선은 간단하게 다른 방식을 적용해 두었다.
부끄럽다. ㅠ.ㅠ
http://mimul.com/pebble/default/2009/10/04/1254641100000.html
[출처] http://josephoconnell.com/java/xss-html-filter/
[원문글 중에서]
참고로 XSS 필터는 무조건 White List 방식을 써야합니다.
XSS를 블랙리스트로 할 경우 나중에 브라우저에 추가되는 버그에 대응할 수
없기 때문입니다.
게다가 요즘엔 브라우저 종류도 너무 다양하죠.
White List 방식으로 해서 안전성이 검증된 태그와 속성, 속성값만을 받아들
여야 합니다.
머리가 나쁜건지, 저 방식을 읽고 적용할 엄두를 내지 못하고 있다.
우선은 간단하게 다른 방식을 적용해 두었다.
부끄럽다. ㅠ.ㅠ
http://mimul.com/pebble/default/2009/10/04/1254641100000.html
[출처] http://josephoconnell.com/java/xss-html-filter/
HTMLInputFilter.java