Seongjin Hong

아주 오래된 질문이지만, 지나가다가 답변해옵니다. Thymeleaf th:text의 기본 escaping은 xss방어의 수단으로 쓸 수 있습니다.
JSON으로 떨어질때는 mime type을 javascript가 실행될 수 없는 타입으로 설정하면 스크립트 태그들이 실행되지 않습니다. 대표적으로&nbsp;<code style="box-sizing: border-box; font-family: Monaco, Consolas, 'Liberation Mono', 'Courier New', monospace; font-size: 13.6px; color: #495057; word-break: break-word; background: rgba(0, 0, 0, 0.024); border: 1px solid rgba(0, 0, 0, 0.05); border-radius: 3px; padding: 3px;">json/application</code> 이 있습니다. 따라서 딱히 건들지 않으면 XSS 방어는 기본적으로 적용됩니다.

소개

게시글