1
표준 데이터베이스가 아닌 XML 형식으로 설문 조사 데이터를 저장하는 웹 응용 프로그램이 있습니다. 타사 조사 구성 요소를 사용합니다 (실제로는 this component이지만 일부 기능을 추가하도록 수정 됨).데이터를 XML로 저장할 때의 공격 방지
현재 우리는 잠재적 인 악의적 인 입력이 설문 결과에 나타나지 않도록 매우 제한적인 화이트리스트 검증 접근법을 사용하고 있습니다. XML 파일. 그러나 화이트리스트 규칙은 고객을위한 지원 문제로 변모하고 있습니다. 그들은 너무 제한적이어서, 나는 단지 도이라는 제한이 있는지 궁금합니다. 누군가가 각진 대괄호 (HTML/xml 태그가 닫혀 있거나 닫혀 있지 않은)를 사용하는 경우 XML 문서에 어떤 효과가 있는지 알 수 없습니다.
이러한 항목을 CDATA 섹션에 저장하고 이러한 경우에 XML 문서가 손상되지 않도록 출력 할 것인가? 우리는 Microsoft.Anti-Xss 및 Web Protection 라이브러리를 사용하여 모든 신뢰할 수없는 출력을 위생적으로 처리합니다.
XML 삽입을 방지하는 가이드가 있습니까? 아니면 XML 데이터와 관련된 XSS입니까? 또는 나는 이것을 과도하게 생각하고 있는가?
핵심 질문은 출력을 올바르게 위생 처리하는 한 입력을 필터링해야합니까? 나의 편집 성질은 예라고 말하지만, 나는 확신 할 수 없으며 나는 몇몇 전문가의 의견을 구할 것이라고 생각했다.