위지윅 에디터를 만들고 있습니다.


위지윅 에디터를 만드는 도중입니다만, XSS 공격을 어떻게 방어해야 할까요? < 와 > 를 치환하는 방법을 생각했지만, innerHtml로 ifame 의 Html 소스를 받아온 후에 <>를 치환하게 되면 정상적인 방법으로 적용한 Html 태그도 사용 불가능하게 돼서 질문 올립니다.

  • 2016년 02월 20일에 작성됨

조회수 289


1 답변


클라이언트에서 XSS공격을 막는데는 한계가 있습니다. 아무리 위지윅 에디터에서 막더라도 서버에 직접 요청하는게 가능하니까요. 그래서 결국 서버에서 막아야하는데 whitelist로 지정된 태그만 허용하는 방식이 그나마 안전할 것 같습니다. 아래는 Python용 HTML sanitizer 라이브러리인데 참고하세요.

https://github.com/mozilla/bleach

  • 2016년 02월 23일에 작성됨
    Polyglot Programmer

로그인이 필요한 기능입니다.

Hashcode는 개발자들을 위한 무료 QnA사이트 입니다. 작성한 답변에 다른 개발자들이 댓글을 작성하거나 좋아요/싫어요를 할 수 있기 때문에 계정을 필요로 합니다.
► 로그인
► 계정만들기
Close