상황
-
공고문, 발표문, 안내문 등 에디터 작성 내용에 HTML 코드가 그대로 노출되는 상황
-
기존에 사용하던 서식을 불러온 뒤 일부 문구 또는 레이아웃이 깨지는 상황
-
사진을 복사/붙여넣기 했으나 정상 반영되지 않는 상황
-
에디터에 입력한 내용이 게시 후 의도한 형태로 보이지 않는 상황
-
안내문 또는 발표문에 태그 형태 문구가 그대로 표시되는 상황
원인
- 보안 강화를 위해 허용되지 않은 HTML 및 스크립트를 제한하는 XSS 필터 정책이 적용됨
-
웹브라우저 모의 해킹 과정에서 확인된 취약점 보완을 위해 조치한 부분
-
허용되지 않은 HTML 태그 사용 시 게시 및 발표 내용에 코드가 그대로 노출됨
-
에디터 내 사진 복사/붙여넣기 방식은 허용되지 않는 입력 방식
진행 프로세스
1. 사진 복사/붙여넣기 방식 확인
1) 에디터에 복사/붙여넣기한 이미지가 있는지 확인
2) 복사/붙여넣기 방식 사용 시 기존 이미지 입력 내용 제거
3) 에디터 우측 상단 [사진] 버튼 클릭
4) 이미지 파일 직접 업로드 방식으로 다시 등록
2. 허용되지 않는 HTML 태그 제거 또는 수정
1) 안내문 또는 공고문에 직접 입력한 HTML 코드 확인
2) XSS 필터 규칙 확인하여 허용되지 않은 태그 확인 후 제거
3) 허용 가능한 HTML 코드만 사용하여 텍스트, 문단, 이미지 재구성
3) 허용되지 않은 HTML 태그 사용 시, 게시 및 발표 내용에 HTML 코드가 그대로 노출
3. XSS 필터 규칙 (다운로드 링크 [클릭])
1) XSS 필터 규칙 안내 파일
2) 파일 내에서 허용되지 않는 HTML 태그 및 속성 목록 확인
3) 작성 중인 안내문 또는 공고문이 규칙에 부합하는 지 점검
4) 필요 시 규칙에 맞게 HTML 코드 수정 후 재저장
유의사항
-
XSS란, Cross Site Scripting(교차 사이트 스크립팅)공격자가 악의적인 XSS 코드를 등록하여 실행될 경우, 정보 탈취가 일어나는 해킹 방식
-
XSS 필터란, 허용되지 않은 XSS 코드를 자동으로 걸러내어 스크립트가 실행되지 않고, HTML 코드를 텍스트 형태로 노출시키는 보안 방식