웹에디터,security,스크립트관련 질문 세가지 입니다.
- 작성자 :
- 김*옥
- 작성일 :
- 2010-10-28 20:14:32
- 조회수 :
- 3,526
- 구분 :
- 공통컴포넌트
- 진행상태 :
- 완료
Q
질문입니다.
1.먼저 웹에디터 질문입니다.
앞쪽의 질문글을 읽다보니~
URL : http://서버IP:PORT/EgovPageLink.do?link=cmm/utl/EgovWebEditor
로 테스트 url적어 주셨는데..
제 프로젝트에 붙여보니 저리 나오더군요..(파일첨부 확인요망)
작업하다 웹에디터 부분이 저렇게 일반 게시판 입력 형태로만 나와요~
글씨 정렬이나 크기 조절같은 기능이 나오지 않고요~
왜 그런걸까요?
2.security 인증부분 관련해서~ 디비를 새로 작업하여 인증부분을 제거하려고 하는데
컨트롤인지 어디서 매핑하는 부분을 빼주면 된다 하셨는데
어딘지 구체적으로 모르겠습니다.
그래서 web.xml에서
<filter>
<filter-name>springSecurityFilterChain</filter-name>
<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</filter>
<filter-mapping>
<filter-name>springSecurityFilterChain</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
이 부분을 통채로 제거하였는데 괜찮을런지요?
3.그리고 xss와 관련해서 게시글에 스크립트를 모두 막아놓았나요?
혹시 그랬다면 그 부분과 관련하여 설정은 어디서 해야하는지요?
1.먼저 웹에디터 질문입니다.
앞쪽의 질문글을 읽다보니~
URL : http://서버IP:PORT/EgovPageLink.do?link=cmm/utl/EgovWebEditor
로 테스트 url적어 주셨는데..
제 프로젝트에 붙여보니 저리 나오더군요..(파일첨부 확인요망)
작업하다 웹에디터 부분이 저렇게 일반 게시판 입력 형태로만 나와요~
글씨 정렬이나 크기 조절같은 기능이 나오지 않고요~
왜 그런걸까요?
2.security 인증부분 관련해서~ 디비를 새로 작업하여 인증부분을 제거하려고 하는데
컨트롤인지 어디서 매핑하는 부분을 빼주면 된다 하셨는데
어딘지 구체적으로 모르겠습니다.
그래서 web.xml에서
<filter>
<filter-name>springSecurityFilterChain</filter-name>
<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</filter>
<filter-mapping>
<filter-name>springSecurityFilterChain</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
이 부분을 통채로 제거하였는데 괜찮을런지요?
3.그리고 xss와 관련해서 게시글에 스크립트를 모두 막아놓았나요?
혹시 그랬다면 그 부분과 관련하여 설정은 어디서 해야하는지요?
A
안녕하세요.. 김선옥님..
1번은 웹에디터가 정상적으로 동작하지 않는 경우에 화면과 같이 나타납니다.
이 경우는 javascript가 동작하지 못하는 경우인데..
등록하신 contextRoot를 확인해 보셔야 합니다.
공통컴포넌트의 경우는 고정 resource 상에 contextRoot를 "/"로 제공하고 있습니다.
따라서 webapp 등록시 contextRoot를 다르게 주셨다면..
js, css 등에 경로에 지정하신 contextRoot를 추가하셔야 합니다.
다음이 수정 대상입니다. (이외에 존재할 수 있음)
- WEB-INF\jsp\egovframework\cmm\utl\EgovWebEditor.jsp (아래 js 지정 경로)
- /html/egovframework/cmm/utl/htmlarea3.0/htmlarea.js (_editor_url)
2번
예.. web.xml에 해당 filter를 제거하시면 됩니다.
추가로 리소스쪽에 spring/conext-security.xml도 삭제하시구요.
3번
별도의 설정은 없습니다.
XSS에 대한 처리는 두가지로 구분됩니다.
첫번째 HTML 태그 처리가 필요 없는 경우
이 경우는 JSTL의 core tag lib가 변환 처리를 해줍니다. (JSP 상에서 모델을 표시할 때 <c:out ../> 사용)
두번째는 웹에디터와 같은 경우 html 표시하기 위해서 <c:out ../>을 처리할 수 없는 경우인데
이 경우는 Controller에서 로직상으로 특정 html tag를 변환하도록 되어 있습니다.
참조: egovframework.com.cop.bbs.web.EgovBBSManageController의 unscript메소드
(해당 메소드에서 변환해 주는 것 이외에 추가적으로 변환을 해주셔야 하는 것이 있을 수 있습니다.)
그럼. 즐거운 하루되십시오.
감사합니다.
1번은 웹에디터가 정상적으로 동작하지 않는 경우에 화면과 같이 나타납니다.
이 경우는 javascript가 동작하지 못하는 경우인데..
등록하신 contextRoot를 확인해 보셔야 합니다.
공통컴포넌트의 경우는 고정 resource 상에 contextRoot를 "/"로 제공하고 있습니다.
따라서 webapp 등록시 contextRoot를 다르게 주셨다면..
js, css 등에 경로에 지정하신 contextRoot를 추가하셔야 합니다.
다음이 수정 대상입니다. (이외에 존재할 수 있음)
- WEB-INF\jsp\egovframework\cmm\utl\EgovWebEditor.jsp (아래 js 지정 경로)
- /html/egovframework/cmm/utl/htmlarea3.0/htmlarea.js (_editor_url)
2번
예.. web.xml에 해당 filter를 제거하시면 됩니다.
추가로 리소스쪽에 spring/conext-security.xml도 삭제하시구요.
3번
별도의 설정은 없습니다.
XSS에 대한 처리는 두가지로 구분됩니다.
첫번째 HTML 태그 처리가 필요 없는 경우
이 경우는 JSTL의 core tag lib가 변환 처리를 해줍니다. (JSP 상에서 모델을 표시할 때 <c:out ../> 사용)
두번째는 웹에디터와 같은 경우 html 표시하기 위해서 <c:out ../>을 처리할 수 없는 경우인데
이 경우는 Controller에서 로직상으로 특정 html tag를 변환하도록 되어 있습니다.
참조: egovframework.com.cop.bbs.web.EgovBBSManageController의 unscript메소드
(해당 메소드에서 변환해 주는 것 이외에 추가적으로 변환을 해주셔야 하는 것이 있을 수 있습니다.)
그럼. 즐거운 하루되십시오.
감사합니다.
