개발나들이/front
XSS / CSRF 공격 가능성 막기 (스크립트 막기)
Ililing
2019. 10. 7. 09:17
게시물 검색 시 <script></script> 문이 안 먹히게 하는 방법입니다.
등의 항목들이 들어왔을 경우 태그를 문자열로 바꾸어 작동이 안되게 하는 방법이네요.
/**
* XSS 공격 방지에 대한 문자 변환을 한다.
*/
onGetEscapeXSS : function (inputText)
{
var targetText = inputText;
if (targetText != '' )
{
var source = ["&", "<", ">", "\"", "'", "/", "(", ")", "%", "-"];
var target = ["&","<",">",""","'","/","(",")","%","-"];
for(var i = 0; i < source.length; i++)
{
targetText = targetText.replace(source[i], target[i]);
}
}
return targetText;
},
/**
* XSS 공격 방지를 위해 변환된 문자를 원본 문자로 복원한다.
*/
onGetUnescapeXSS : function (inputText)
{
var plainText = inputText;
if (plainText != '')
{
var source = ["&","<",">",""","'","/","(",")","%","-"];
var target = ["&", "<", ">", "\"", "'", "/", "(", ")", "%", "-"];
for(var i = 0; i < source.length; i++)
{
if(plainText.indexOf(source[i]) > -1)
{
plainText = plainText.replace(source[i], target[i]);
}
}
}
return plainText;
}