htmltagfilter 특정 웹에디터에서 xss 방어가 안됩니다.
- 작성자 :
- 최*영
- 작성일 :
- 2023-11-09 12:08:47
- 조회수 :
- 690
- 구분 :
- 개발환경 / 4.1
- 진행상태 :
- 완료
Q
summernote라는 웹에디터를 사용하고 있는데 해당 에디터는 html 태그를 입력할 수 있습니다. onmouseover 같은 이벤트 핸들러도 가능합니다.
htmltagfilter가 폼전송 후 컨트롤러 단에서 처리후 리턴해주는 것으로 알고 있는데
해당 에디터로 xss 취약 테스트를 위해 스크립트 태그등을 삽입해도 제대로 방어를 못해주는 것 같습니다.
다른 추가로 설정할 사항이 있을까요?
web.xml에 경로와 패턴 입력하는 것 뿐 아니라 컨트롤러단에서 따로 콜을 해야하나요?
htmltagfilter가 폼전송 후 컨트롤러 단에서 처리후 리턴해주는 것으로 알고 있는데
해당 에디터로 xss 취약 테스트를 위해 스크립트 태그등을 삽입해도 제대로 방어를 못해주는 것 같습니다.
다른 추가로 설정할 사항이 있을까요?
web.xml에 경로와 패턴 입력하는 것 뿐 아니라 컨트롤러단에서 따로 콜을 해야하나요?
환경정보
-
- OS 정보 : mac 13.6
- 표준프레임워크 버전 : 4.1
- JDK(JRE) 정보 : 1.8
A
안녕하세요.
표준프레임워크센터 입니다.
Multipart 업로드 기능 사용시에는
springMultipartFilter를 적용하셔야 하며
다음 코드를 참고 하실수 있습니다.
https://github.com/eGovFramework/egovframe-common-components/blob/contribution/src/main/java/egovframework/com/cmm/config/EgovWebApplicationInitializer.java
그외에 문제가 되는 경우는
해당 폼 필드 입력값에 대한
예시값을 첨부하여 대표이메일로 전달해 주시면
검토 및 테스트를 진행해 볼수 있을듯 합니다.
대표문의 메일 : egovframesupport@gmail.com
감사합니다.
표준프레임워크센터 입니다.
Multipart 업로드 기능 사용시에는
springMultipartFilter를 적용하셔야 하며
다음 코드를 참고 하실수 있습니다.
https://github.com/eGovFramework/egovframe-common-components/blob/contribution/src/main/java/egovframework/com/cmm/config/EgovWebApplicationInitializer.java
그외에 문제가 되는 경우는
해당 폼 필드 입력값에 대한
예시값을 첨부하여 대표이메일로 전달해 주시면
검토 및 테스트를 진행해 볼수 있을듯 합니다.
대표문의 메일 : egovframesupport@gmail.com
감사합니다.
