728x90
인터넷 익스플로러 교차스크립트 xss 기능 동작 우회 방법
파라메터에 태그 형식을 바로 view단에 적용 할 경우 익스플로러는 XSS 기능이 있어 파라메터값을 사용자 단에서 변경해버린다.
<div class="_obj _objHtml" id="menu772_obj1" style="left: 533px; top: 10px; width: 339px; height: 157px;"><h2>제목을 입력하세요.</h2></div>
==>
<div class="_obj _objHtml" id="menu772_obj1" style="left: 533px; top: 10px; width: 339px; height: 157px;"><h2>제목을 입력하세요#</h2></div>
'.' -> '#' 문자로 변경해버림..
태그를 반드시 view 단에 적용시켜야되는데 우회하여 적용한다.
<textarea id="contentsHtmlTxt" style="display: none;"><c:out value="${vo.html }" /></textarea>
<div id="contentsHtml" style="display: none;"></div>
var txt = $("#contentsHtmlTxt").val();
$("#contentsHtml").html(txt);
textarea에는 < , > 문자가 < gt 로 변경되어 들어있다.
이 문자를 .html()을 이용해 태그 형식으로 적용시키면 xss 기능에 걸리지 않는다.
728x90
'Script' 카테고리의 다른 글
textarea 특정 위치에 원하는값 넣기 (0) | 2015.11.16 |
---|---|
string boolean number 형변환 (0) | 2015.10.30 |
브라우저 구분 (0) | 2015.10.28 |
replaceall 사용하기 (0) | 2015.10.21 |
iframe 에서 부모창과 자식 창의 함수 호출 (0) | 2015.10.12 |