XSS / CSRF 공격 가능성 막기 (스크립트 막기)
2019. 10. 7. 09:17ㆍ개발나들이/front
게시물 검색 시 <script></script> 문이 안 먹히게 하는 방법입니다.
등의 항목들이 들어왔을 경우 태그를 문자열로 바꾸어 작동이 안되게 하는 방법이네요.
/**
* XSS 공격 방지에 대한 문자 변환을 한다.
*/
onGetEscapeXSS : function (inputText)
{
var targetText = inputText;
if (targetText != '' )
{
var source = ["&", "<", ">", "\"", "'", "/", "(", ")", "%", "-"];
var target = ["&","<",">",""","'","/","(",")","%","-"];
for(var i = 0; i < source.length; i++)
{
targetText = targetText.replace(source[i], target[i]);
}
}
return targetText;
},
/**
* XSS 공격 방지를 위해 변환된 문자를 원본 문자로 복원한다.
*/
onGetUnescapeXSS : function (inputText)
{
var plainText = inputText;
if (plainText != '')
{
var source = ["&","<",">",""","'","/","(",")","%","-"];
var target = ["&", "<", ">", "\"", "'", "/", "(", ")", "%", "-"];
for(var i = 0; i < source.length; i++)
{
if(plainText.indexOf(source[i]) > -1)
{
plainText = plainText.replace(source[i], target[i]);
}
}
}
return plainText;
}
'개발나들이 > front' 카테고리의 다른 글
| 마스킹처리 - 2 (고객정보) (0) | 2019.11.14 |
|---|---|
| 마스킹처리 - 1 (전화번호, 이메일, 차량번호, 사업가번호 등등) (0) | 2019.10.30 |
| [javascript] url 파싱 (0) | 2019.09.03 |
| ajaxstart() 와 ajaxstop() 사용방법 (0) | 2019.07.23 |
| input type=file 일때 value 값 지우기 (0) | 2019.06.07 |