본문 바로가기
Script

인터넷 익스플로러 교차스크립트 xss 기능 동작 우회 방법

by 자바초보자 2015. 10. 28.
728x90

인터넷 익스플로러 교차스크립트 xss 기능 동작 우회 방법

 

 

파라메터에 태그 형식을 바로 view단에 적용 할 경우 익스플로러는 XSS 기능이 있어 파라메터값을 사용자 단에서 변경해버린다.

 

<div class="_obj _objHtml" id="menu772_obj1" style="left: 533px; top: 10px; width: 339px; height: 157px;"><h2>제목을 입력하세요.</h2></div>

==>

<div class="_obj _objHtml" id="menu772_obj1" style="left: 533px; top: 10px; width: 339px; height: 157px;"><h2>제목을 입력하세요#</h2></div>

 

'.' -> '#' 문자로 변경해버림..

 

태그를 반드시 view 단에 적용시켜야되는데 우회하여 적용한다.

 

 

 

 

<textarea id="contentsHtmlTxt" style="display: none;"><c:out value="${vo.html }" /></textarea>

<div id="contentsHtml" style="display: none;"></div>

 

var txt = $("#contentsHtmlTxt").val();
 $("#contentsHtml").html(txt);

 

textarea에는 < , > 문자가 &lt gt 로 변경되어 들어있다.

이 문자를 .html()을 이용해 태그 형식으로 적용시키면 xss 기능에 걸리지 않는다.

 

 

 

728x90

'Script' 카테고리의 다른 글

textarea 특정 위치에 원하는값 넣기  (0) 2015.11.16
string boolean number 형변환  (0) 2015.10.30
브라우저 구분  (0) 2015.10.28
replaceall 사용하기  (0) 2015.10.21
iframe 에서 부모창과 자식 창의 함수 호출  (0) 2015.10.12