위지윅 에디터를 만들고 있습니다.
조회수 1946회
위지윅 에디터를 만드는 도중입니다만, XSS 공격을 어떻게 방어해야 할까요? < 와 > 를 치환하는 방법을 생각했지만, innerHtml로 ifame 의 Html 소스를 받아온 후에 <>를 치환하게 되면 정상적인 방법으로 적용한 Html 태그도 사용 불가능하게 돼서 질문 올립니다.
-
(•́ ✖ •̀)
알 수 없는 사용자
1 답변
-
클라이언트에서 XSS공격을 막는데는 한계가 있습니다. 아무리 위지윅 에디터에서 막더라도 서버에 직접 요청하는게 가능하니까요. 그래서 결국 서버에서 막아야하는데 whitelist로 지정된 태그만 허용하는 방식이 그나마 안전할 것 같습니다. 아래는 Python용 HTML sanitizer 라이브러리인데 참고하세요.
-
(•́ ✖ •̀)
알 수 없는 사용자
- Ruby gem도 있네요. https://github.com/rgrove/sanitize 알 수 없는 사용자 2016.2.23 20:41
- 지정된 태그를 찾는 기준이 꺽쇠인가요? 인가요? 답변 감사드립니다. 알 수 없는 사용자 2016.2.26 19:07
-
댓글 입력