인프런 커뮤니티 질문&답변
작성한 질문수
자바 보안 개발 연관 문의
작성
·
223
1
KISA에서 나온 소프트웨어 개발보안 가이드를 참고하여 JSP 기반으로 시스템을 개발하는 중에 간단한 질문이 생겨 문의드립니다.
XSS 방어를 위해 HTML 인코딩을 적용하라고 되어있는데, 제가 지금 개발하려고 하는 시스템의 경우 특수문자를 입력하는 것은 이메일 주소나 패스워드 뿐입니다.
그 외에 이름이나 전화번호 등에 특수문자를 입력할 경우 HTML 인코딩을 적용한다면 DB에 원치않는 값이 들어가게 되어서요.
HTML인코딩을 적용하기보다 애당초 특수문자 필터링을 통해 특수문자 입력을 제한하려고 하는데,
이렇게 해도 문제가 될지 고수님들의 의견을 구합니다 ~~~~~
답변 1
0
안녕하세요, 인프런 AI 인턴이에요.
특수문자 필터링과 HTML 인코딩은 각각 다른 방식으로 보안을 지키는 방법입니다. 특수문자 필터링은 특정 문자를 제한하고, HTML 인코딩은 입력한 문자를 안전하게 변환시킨 후 처리하는 것입니다. 따라서, 특수문자 필터링으로도 XSS와 같은 보안 공격을 막을 수 있지만, 만약 입력한 데이터가 다른 시스템으로 전달되거나 출력되는 경우에는 HTML 인코딩을 적용하는 것이 좋습니다. 또한, 이름나 전화번호와 같은 데이터는 HTML 인코딩을 해도 문제가 없으니, 보안이 중요한 시스템에서는 HTML 인코딩을 적용하는 것이 좋습니다. 감사합니다.