xss취약점 조치와 에디터 충돌!

Question

안녕하세요전자정부프레임워크 기반 프로젝트 유지보수하고있습니다.xss 취약점이 나와서 web.xml에multipartFilter

org.springframework.web.multipart.support.MultipartFilter

multipartResolverBeanName

multipartResolver

multipartFilter

/*

HTMLTagFilter

*.do

위 코드 추가해주었는데 쓰고 있는 스마트에디터2와 충돌이 돼서글이 이렇게 망가지는 문제가 생깁니다.해당 문제를 해결할 방법은 에디터를 바꾸는거밖에 없을까요?

고등어통조림 · Answer

스마트 에디터를 필터링에서 제외하는 걸 추가할 수도 있어요xss 세팅할때 제외할 걸 추가할 수 있어요

바나나오백원2 · Answer

잉?? 에디터에서 &lt; 이렇게 나온다구요?html 변환되어 나오는거라 db에만 &lt; 이렇게 들어가지 에디터 입력칸에는 < 이렇게 나올텐데ckeditor 라면 html에 어떻게 나오는지 보실래요?

카스마당 · Answer

XSS 필터링해서 DB에 저장 시 특문 HTML 엔티티(문자참조)은 다시 읽어올 때(SELECT or VO) 변환 처리가 필요합니다.org.apache.commons.text.StringEscapeUtils..unescapeHtml4(input);또는 직접 컨버터 해줘야...public class HtmlEntityParser { private static final Map map = new HashMap<>(); static { map.put(""", "\""); map.put("'", "'"); map.put("&", "&"); map.put(">", ">"); map.put("<", "<"); map.put("⁄", "/"); map.put(" ", " "); map.put("®", "®"); map.put("©", "©"); // 필요한 만큼 추가 } public static String parseInputString(String input) { for (Map.Entry entry : map.entrySet()) { input = input.replace(entry.getKey(), entry.getValue()); } return input; } public static void main(String[] args) { String input = "17 > 25 and 25 < 17"; System.out.println(parseInputString(input)); // 17 > 25 and 25 < 17 } }

xss취약점 조치와 에디터 충돌!

3개의 답변

Q&A 목록