web.xml에 xss multipartFilter 적용시 devTools Console에서 SyntaxError 발생하는 현상
- 작성자 :
- 이*훈
- 작성일 :
- 2023-07-17 14:51:01
- 조회수 :
- 638
- 구분 :
- 실행환경 / 3.1
- 진행상태 :
- 완료
Q
안녕하세요
xss filter를 web.xml에 적용한 뒤 파일추가 후 dext파일업로드를 진행하려고 하면
devTools의 Sources의 'VM+번호'로 생성된 페이지에서 SyntaxError가 발생합니다
에러내용을 예로 들면
html.push("javascript:fnExample();
에서 뒷부분에 [ "); ] 이 내용이 존재하지 않아서 에러가 발생한다고 나오는데
실제 jsp의 script단에서 해당 내용을 보면
html.push("javascript:fnExample();");
이렇게 소스가 정상적인 것을 볼 수 있었습니다
xss필터를 제거하고 실행하면 정상적으로 저장되며 넘어가지는데
필터로 인해 문제가 발생된거라면 어떤 방법으로 처리할 수 있을까요?
xss filter를 web.xml에 적용한 뒤 파일추가 후 dext파일업로드를 진행하려고 하면
devTools의 Sources의 'VM+번호'로 생성된 페이지에서 SyntaxError가 발생합니다
에러내용을 예로 들면
html.push("javascript:fnExample();
에서 뒷부분에 [ "); ] 이 내용이 존재하지 않아서 에러가 발생한다고 나오는데
실제 jsp의 script단에서 해당 내용을 보면
html.push("javascript:fnExample();");
이렇게 소스가 정상적인 것을 볼 수 있었습니다
xss필터를 제거하고 실행하면 정상적으로 저장되며 넘어가지는데
필터로 인해 문제가 발생된거라면 어떤 방법으로 처리할 수 있을까요?
환경정보
-
- OS 정보 : Window 10 x64
- 표준프레임워크 버전 : 3.1.0
- JDK(JRE) 정보 : JavaSE-1.6
- WAS 정보 : Tomcat v7.0 Server
- DB 정보 : Oracle Database 11g(실 운영 DB는 12g) - 두 DB 모두 동일현상
- 기타 환경 정보 :
A
안녕하세요.
표준프레임워크 센터입니다.
XSS 필터 적용 후
필요한 스크립트까지 차단하는 문제가 발생하는 경우에는
필터의 적용 범위나 필터링 세부 규칙을 보다 상세하게 설정하는 방법이나
필터링을 원하지 않는 부분에 대해 필터 예외 설정을 추가하는 방법,
특정 스크립트의 문제를 회피하기 위해
스크립트 자체를 변경하거나 동적으로 생성하는 방식 등으로 수정하는 방법 등이 있으나
XSS 필터링 대안 적용은 보안과 직결되는 설정이기 때문에
사업단 내부적으로 충분한 검토가 요구된다는 점 참고 부탁 드립니다.
감사합니다.
표준프레임워크 센터입니다.
XSS 필터 적용 후
필요한 스크립트까지 차단하는 문제가 발생하는 경우에는
필터의 적용 범위나 필터링 세부 규칙을 보다 상세하게 설정하는 방법이나
필터링을 원하지 않는 부분에 대해 필터 예외 설정을 추가하는 방법,
특정 스크립트의 문제를 회피하기 위해
스크립트 자체를 변경하거나 동적으로 생성하는 방식 등으로 수정하는 방법 등이 있으나
XSS 필터링 대안 적용은 보안과 직결되는 설정이기 때문에
사업단 내부적으로 충분한 검토가 요구된다는 점 참고 부탁 드립니다.
감사합니다.
