XSS (Cross Site Scripting)에 대한 또 다른 질문

Question

나는 우리 사이트에서 XSS를 방지하기위한 해결책을 모으는 방법에 대한 지식을 찾기 위해 그물을 빗질 해 왔습니다.

저는 stackoverflow이 주제에 대한 많은 질문과 답변을 갖고 있지만이 문제에 접근하는 방법에 관해서는 여전히 명확한 명확한 그림이 없다는 것을 알고 있습니다.

그래서 여기에이 주제에 대한 정보를 얻기위한 또 다른 시도가 있습니다.

우리는 JSP 모델 1 프레임 워크를 기반으로하는 구 사이트를 가지고 있습니다. 사이트에는 캡 티브 잠재 고객이 있습니다. 즉, 사용자 이름/비밀번호를 제공 받으려면 등록해야합니다. 사용자가 실제로 입력 할 수있는 데이터의 양은 검색 기준, 입찰가 및 판매 인벤토리 게시가 거의 제한되어 있습니다.

저는 XSS filter의 사용을 사이트 전체에 적용 해 보았습니다. 소스 코드가이 솔루션과 함께 제공되지 않으며 보안성에 대한 의문이 제기 될 수 있다는 우려가 제기되었습니다.

또한 taglib가 서버 측면에서 로직을 추가하는 데 사용되는 곳을 보았습니다.

질문

은 다음과 같습니다

충분한 클라이언트 측에서 충분한을 XSS를 해결 않거나 클라이언트와 서버에 모두 해결해야합니까?

필터가 충분하거나 클라이언트 용 JSTL tablib과 함께 사용해야합니까? 내가 가지고있는 필터 외에 다른 필터가 있습니까? 내 검색에서 필터를 찾을 수 없었기 때문입니다. 나는 XSS 필터의 사용에서 찾고있다

감사

Answer 1

사이트에 적용합니다.

적어도 일반적으로 필터를 피하는 것이 좋습니다. 그들은 "아! XSS!"로 이어질 수 있습니다, "아니, 방금 방정식을 쓰고 있었어".

충분한 클라이언트 측에서 XSS를 해결하고 등

어느 요소를 데이터를 탈출하거나, 당신이 마크 업을 허용 할 경우, 원치 않는 속성을 제거하는 화이트리스트를 통해 발생 된 DOM을 구문 분석, URI를, 충분

아니요! 클라이언트를 신뢰할 수 없습니다.

또는 클라이언트와 서버 모두에서 해결해야합니까?

클라이언트 측에서 처리해서는 안됩니다.