logo image
메인
기술
HOME
기술

GET,POST값 등을 JAVASCRIPT에서 사용할 경우 보안 문제 발생 가능. 해결법

목록
#security
<script>
//<!-- or //<![CDATA[
~~~ 내용 ~~~
//--> or// ]]>
</script>

기본 자바스크립트 모양이 이럴건데
<!-- 등 때문에 살짝 문제가됨.


# 문제점

<script>
//<!--
var req = "<?=$_GET['req']?>";
//-->
</script>
처럼 할 경우
req의 내용이
";--> <script>alert('X');</script>
처럼 되어있다면?

<script>
//<!--
var req = "";--> <script>alert('X');</script>";
//-->
</script>
이렇게 결과가 되며
스크립트 동작에 문제가 있을 수 있다.(요즘 브라우저는 스크립트 공격으로 보고 스크립트 동작을 멈춘다.)

$_GET말고도 DB의 내용등 PHP에서 javascript로 값을 남겨 사용할 경우도 똑같다.


#해결법

<!-- 등의 HTML 주석 처리 부분을 빼고, htmlspecialchars() 를 사용한다. 


<script>
var req = "<?=htmlspecialchars($_GET['req'])?>";
</script>

아래처럼 HTML엔터티 처리가되서 무사 OK
<script>
var req = "&quot;;--&gt; &lt;script&gt;alert('X');&lt;/script&gt;";
</script>

#추가
스크립트 코딩시 &나 >,< 같은 단어의 엔터티 처리가 힘드므로

<script>
var req = "<?=htmlspecialchars($_GET['req'])?>";
</script>
<script>
//<!--
var f  = document.form1;
f.req.value = req;
//-->
</script>

처럼 값 선언 부분과 비지니스 처러 부분을 따로하고
비니지스 처리 부분만 HTML 주석처리 해주면 된다.
목록
댓글
  • / /
  • No Nickname
    No Comment
  • 권한이 없습니다.
    {{m_row.m_nick}}
    -
목록형 📷 갤러리형
제목
[기본형] HTML (with 부트스트랩5.3 , jquery 3.7, vue.js)
유용한 리눅스(LINUX) 명령어
[공지] 기술 게시판
4.28
4.29
4.30
5.1
5.2
5.3
5.4
5.5
5.6
5.7
5.8
5.9
5.10
5.11
5.12
5.13
5.14
5.15
5.16
5.17
5.18
5.19
5.20
5.21
5.22
5.23
5.24
5.25
5.26
5.27
5.28
5.29
5.30
5.31
6.1
tag