익명 사용자
로그인하지 않음
토론
기여
계정 만들기
로그인
IT 위키
검색
크로스사이트 스크립트
편집하기 (부분)
IT 위키
이름공간
문서
토론
더 보기
더 보기
문서 행위
읽기
편집
원본 편집
역사
경고:
로그인하지 않았습니다. 편집을 하면 IP 주소가 공개되게 됩니다.
로그인
하거나
계정을 생성하면
편집자가 사용자 이름으로 기록되고, 다른 장점도 있습니다.
스팸 방지 검사입니다. 이것을 입력하지
마세요
!
고급
특수 문자
도움말
문단 제목
2단계
3단계
4단계
5단계
형식
넣기
라틴 문자
확장 라틴 문자
IPA 문자
기호
그리스 문자
그리스어 확장
키릴 문자
아랍 문자
아랍어 확장
히브리 문자
뱅골어
타밀어
텔루구어 문자
싱할라 문자
데바나가리어
구자라트 문자
태국어
라오어
크메르어
캐나다 원주민 언어
룬 문자
Á
á
À
à
Â
â
Ä
ä
Ã
ã
Ǎ
ǎ
Ā
ā
Ă
ă
Ą
ą
Å
å
Ć
ć
Ĉ
ĉ
Ç
ç
Č
č
Ċ
ċ
Đ
đ
Ď
ď
É
é
È
è
Ê
ê
Ë
ë
Ě
ě
Ē
ē
Ĕ
ĕ
Ė
ė
Ę
ę
Ĝ
ĝ
Ģ
ģ
Ğ
ğ
Ġ
ġ
Ĥ
ĥ
Ħ
ħ
Í
í
Ì
ì
Î
î
Ï
ï
Ĩ
ĩ
Ǐ
ǐ
Ī
ī
Ĭ
ĭ
İ
ı
Į
į
Ĵ
ĵ
Ķ
ķ
Ĺ
ĺ
Ļ
ļ
Ľ
ľ
Ł
ł
Ń
ń
Ñ
ñ
Ņ
ņ
Ň
ň
Ó
ó
Ò
ò
Ô
ô
Ö
ö
Õ
õ
Ǒ
ǒ
Ō
ō
Ŏ
ŏ
Ǫ
ǫ
Ő
ő
Ŕ
ŕ
Ŗ
ŗ
Ř
ř
Ś
ś
Ŝ
ŝ
Ş
ş
Š
š
Ș
ș
Ț
ț
Ť
ť
Ú
ú
Ù
ù
Û
û
Ü
ü
Ũ
ũ
Ů
ů
Ǔ
ǔ
Ū
ū
ǖ
ǘ
ǚ
ǜ
Ŭ
ŭ
Ų
ų
Ű
ű
Ŵ
ŵ
Ý
ý
Ŷ
ŷ
Ÿ
ÿ
Ȳ
ȳ
Ź
ź
Ž
ž
Ż
ż
Æ
æ
Ǣ
ǣ
Ø
ø
Œ
œ
ß
Ð
ð
Þ
þ
Ə
ə
서식 지정
링크
문단 제목
목록
파일
각주
토론
설명
입력하는 내용
문서에 나오는 결과
기울임꼴
''기울인 글씨''
기울인 글씨
굵게
'''굵은 글씨'''
굵은 글씨
굵고 기울인 글씨
'''''굵고 기울인 글씨'''''
굵고 기울인 글씨
== 코드 예제== * '''안전하지 않은 코드 : Java 예제''' : 파라미터(id)에 <script>alert(document.cookie);</script>와 같은 스크립트 코드가 입력되고, 이 값을 그대로 출력에 사용하는 경우, 공격자는 공격코드를 이용하여 피해자의 쿠키정보를 빼돌릴 수 있다. :<syntaxhighlight lang="java"> <% String customerID = request.getParameter(“id”); %> 요청한 사용자: <%=customerID%> 처리결과: ${m.content} </syntaxhighlight> * '''안전한 코드 : Java 예제''' : 서버의 처리 결과를 사용자 화면에 출력하는 경우, 문자열 치환 함수를 이용하여 출력값을 HTML 인코딩하거나, JSTL을 이용하여 출력 또는 잘 만들어진 외부 XSSFilter 라이브러리를 활용하여 출력하는 것이 안전하다. :<syntaxhighlight lang="java"> // 방법1. 서블릿에서 출력값에 HTML인코딩 String cleanData = input.replaceAll(“<”, “<”).replaceAll(“>”, “>”); out.println(cleanData); // 방법2. JSP에서 출력값에 JSTL HTML 인코딩 <textarea name=”content”>${ fn:escapeXml(model.content) }</textarea> // 방법3. JSP에서 출력값에 JSTL Core 출력 포맷을 사용하여 텍스트로 처리 <textarea name=”content”><c:out value=”${model.content}”/></textarea> // 방법4. 잘 만들어진 외부 XSSFilter 라이브러리를 활용하여 출력값에 필터링 XssFilter filter = XssFilter.getInstance(“lucy-xss-superset.xml”); out.append(filter.doFilter(data)); </syntaxhighlight> * '''안전하지 않은 코드 : C# 예제''' : 파라미터(ID) 값에 서버로 전송하는 스크립트 코드가 입력되고, 이 값이 검증 없이 그대로 사용되면 부적절한 스크립트가 수행되어 정보유출 등의 공격을 유발할 수 있다. :<syntaxhighlight lang="c#"> public void Execute() { String userid = Request.QueryString[“ID”]; String query = “Select * From Products Where ProductID = “ + userid; Request.Write(query); } </syntaxhighlight> * '''안전한 코드 : C# 예제''' : 외부 입력 문자열에서 replace() 메서드를 사용하여 <, >, &, “, ‘, / 같이 스크립트 생성에 사용되는 문자열을 <, >, &, ", ', / 등으로 변경하면, 파라미터 userid에 악성스크립트가 포함되더라도 스크립트가 실행되지 않는다. :<syntaxhighlight lang="c#"> public void Execute() { String userid = Request.QueryString[“ID”]; if (userid != null && !””.Equals(userid)) { userid = userid.Replace(“<”, “<”); userid = userid.Replace(“>”, “>”); userid = userid.Replace(“&”, “%amp;”); userid = userid.Replace(“””, “&#quot;”); userid = userid.Replace(“’”, “'”); userid = userid.Replace(“/”, “/”); } String query = “Select * From Products Where ProductID = “ + usrinput; Request.Write(query); } </syntaxhighlight>
요약:
IT 위키에서의 모든 기여는 크리에이티브 커먼즈 저작자표시-비영리-동일조건변경허락 라이선스로 배포된다는 점을 유의해 주세요(자세한 내용에 대해서는
IT 위키:저작권
문서를 읽어주세요). 만약 여기에 동의하지 않는다면 문서를 저장하지 말아 주세요.
또한, 직접 작성했거나 퍼블릭 도메인과 같은 자유 문서에서 가져왔다는 것을 보증해야 합니다.
저작권이 있는 내용을 허가 없이 저장하지 마세요!
취소
편집 도움말
(새 창에서 열림)
둘러보기
둘러보기
대문
최근 바뀜
광고
위키 도구
위키 도구
특수 문서 목록
문서 도구
문서 도구
사용자 문서 도구
더 보기
여기를 가리키는 문서
가리키는 글의 최근 바뀜
문서 정보
문서 기록
