작성
·
244
0
안녕하세요 강의 잘 들었습니다.
XSS 관련해서 궁금한게 있는데요.
실제 소스를 돌려보지 못하고 문의 드려서 죄송합니다.
소스상으로 봤을때 xss lucy 필터를 적용할 경우 DB에 이스케이프 되어서 저장이 될거라고 예상 됩니다.
다만 requestBody 경우 DB 에 저장하기 전에 이스케이프 되는게 아닌 출력 전에 이스케이프가 될거 같은데 맞을까요?
맞다면 lucy 적용한 데이터는 db에 이스케이프가 되어 저장 되어 있고 requestbody로 받은 데이터는 db에 이스케이프 되어 있지 않고 저장 될거 같은데 그럼 문제가 있지 않나 싶어 문의 드립니다.
답변 1
0
안녕하세요 성우님! 말씀하신대로 xss 필터와는 다르게 response를 반환하면서 이스케이프가 됩니다. DB에는 스크립트로 저장이 되지만 결국 스크립트가 실행되는 것은 브라우저이기 때문에 치환되서 브라우저에 반환되면 문제가 없을 것 입니다. 그리고 데이터를 입력하는 창에서도 스크립트 코드 같은 경우는 클라이언트쪽에서도 최대한 주의깊게 사용하고, 필요 없는 부분에서는 막을 수 있도록 해야될꺼 같습니다.