크로스사이트 스크립팅(XSS)

XSS : Cross Site Scripting

 - 사이트를 교차해서 스크립트를 발생시키는 것

 - 웹에서 파라미터나 게시글 등 자바스크립트같은 스크립트 언어로 개발자가 개발하지 않은 기능을 작동시키는 것

 

XSS 기본예제

기본예제의 그림처럼 url 뒤에 넘어오는 파라미터에 자바스크립트를 삽입하거나

게시글내용에 직접 입력하는 등 방법이 다양하다.

 

자바에서 아주 간단하게 막는 방법을 소개하겠다.

다른 설정 없이 파라미터를 받아서 수정을 하는 방법이다.

 

String type = request.getParameter("type");

type.replaceAll("<","&lt;");

type.replaceAll(">","&gt;");

type.replaceAll("\"","&quot;");

type.replaceAll("script","");

articleVO.setType(type);

 

이런식으로 간단하게 위험문자들을 이스케이핑해서 처리하는방법이 있다.