GET,POST값 등을 JAVASCRIPT에서 사용할 경우 보안 문제 발생 가능. 해결법

<script>
//<!-- or //<![CDATA[
~~~ 내용 ~~~
//--> or// ]]>
</script>

기본 자바스크립트 모양이 이럴건데
<!-- 등 때문에 살짝 문제가됨.



# 문제점

<script>
//<!--
var req = "<?=$_GET['req']?>";
//-->
</script>
처럼 할 경우
req의 내용이
";--> <script>alert('X');</script>
처럼 되어있다면?

<script>
//<!--
var req = "";--> <script>alert('X');</script>";
//-->
</script>
이렇게 결과가 되며
스크립트 동작에 문제가 있을 수 있다.(요즘 브라우저는 스크립트 공격으로 보고 스크립트 동작을 멈춘다.)

$_GET말고도 DB의 내용등 PHP에서 javascript로 값을 남겨 사용할 경우도 똑같다.



#해결법

<!-- 등의 HTML 주석 처리 부분을 빼고, htmlspecialchars() 를 사용한다. 


<script>
var req = "<?=htmlspecialchars($_GET['req'])?>";
</script>

아래처럼 HTML엔터티 처리가되서 무사 OK
<script>
var req = "&quot;;--&gt; &lt;script&gt;alert('X');&lt;/script&gt;";
</script>


#추가
스크립트 코딩시 &나 >,< 같은 단어의 엔터티 처리가 힘드므로

<script>
var req = "<?=htmlspecialchars($_GET['req'])?>";
</script>
<script>
//<!--
var f  = document.form1;
f.req.value = req;
//-->
</script>

처럼 값 선언 부분과 비지니스 처러 부분을 따로하고
비니지스 처리 부분만 HTML 주석처리 해주면 된다.
댓글
  • No Nickname
    No Comment
  • 권한이 없습니다.
    {{m_row.m_nick}}
    -
제목 작성자 날짜
공대여자
공대여자
mins01
공대여자
점검 S 1
공대여자
공대여자
공대여자
공대여자
공대여자
공대여자
공대여자
공대여자
공대여자