위지윅 에디터를 만들고 있습니다.

조회수 1860회

위지윅 에디터를 만드는 도중입니다만, XSS 공격을 어떻게 방어해야 할까요? < 와 > 를 치환하는 방법을 생각했지만, innerHtml로 ifame 의 Html 소스를 받아온 후에 <>를 치환하게 되면 정상적인 방법으로 적용한 Html 태그도 사용 불가능하게 돼서 질문 올립니다.

  • (•́ ✖ •̀)
    알 수 없는 사용자

1 답변

  • 클라이언트에서 XSS공격을 막는데는 한계가 있습니다. 아무리 위지윅 에디터에서 막더라도 서버에 직접 요청하는게 가능하니까요. 그래서 결국 서버에서 막아야하는데 whitelist로 지정된 태그만 허용하는 방식이 그나마 안전할 것 같습니다. 아래는 Python용 HTML sanitizer 라이브러리인데 참고하세요.

    https://github.com/mozilla/bleach

    • (•́ ✖ •̀)
      알 수 없는 사용자
    • Ruby gem도 있네요. https://github.com/rgrove/sanitize 2016.2.23 20:41
    • 지정된 태그를 찾는 기준이 꺽쇠인가요? 인가요? 답변 감사드립니다. 2016.2.26 19:07

답변을 하려면 로그인이 필요합니다.

프로그래머스 커뮤니티는 개발자들을 위한 Q&A 서비스입니다. 로그인해야 답변을 작성하실 수 있습니다.

(ಠ_ಠ)
(ಠ‿ಠ)