반응형
web 개발
-
[ 번역 ] XSS 대응( 이스케이프 처리 )Technique/WEB 2016. 9. 6. 11:55
원문 : http://d.hatena.ne.jp/ockeghem/20070511/1178899191 을 번역하였습니다. 의역좀 들어가있고, 오역지적 해주시면 참고 하겠습니다. xss 대응 : javascript등의 이스케이프 스크립트가 onXXX의 이벤트 핸들러로서 기억되는 경우 이 경우는 HTML 태그의 특성값으로서 스크립트가 기억되기 때문에 ' 스크립트는 문자 참조에 의해 이스케이프가 필요' 가 된다 구체적으로는 (최저) ["]와 [&] 가 되겟다. 1cs 이렇게 적는것이 보통이지만, 적으려고 한다면1cs 이렇게 적어도 좋다. 그러나 스크립트 안에도 문자열 리터럴과 같이 에스케이프를 필요로하는 부분가 있다. 아래와 같이1cs 더욱이 javascript문자열 리터럴의 에스케이프와 문자 참조를 조합해야하..