저장된 XSS을 예방하는 가장 좋은 방법은 무엇입니까? XSS 예방 : 클라이언트 또는 서버 측?
- 모든 텍스트 필드 (심지어 일반 텍스트)는 OWASP Java HTML Sanitizer Project 같은 것을 사용하여 XSS의 HTML을 방지하기 위해 서버 측을 소독해야 하는가?
- 클라이언트은 XSS prevention rules을 적용하여 XSS 버그로부터 스스로를 보호해야합니까?
첫 번째 해결 방법의 문제점은 데이터가 수정 될 수 있다는 것입니다 (문자 인코딩, 부분 삭제 또는 전체 삭제 ...). 응용 프로그램의 동작을 변경시킬 수 있습니다. 특히 디스플레이 관련 문제가 발생할 수 있습니다.
보안은 레이어에 가장 적합하므로 둘 중 어느 것이 가장 좋습니다. BTW, 이것은 프로그래밍 기반보다 보안에 더 중점을 두었습니다. https://security.stackexchange.com이 더 좋은 장소 일 수 있습니다. –