URL에 직접쳐서 자바스크립트 제어 관련 문의 드려요.
현재 관리하는 사이트가
예를들어
abc.com/index.php?abc=qqq 인데
abc.com/index.php?abc=qqq 여기에
abc.com/index.php?abc=qqq"><script>alert(document.cookie);</script>
URL 에 직접 "><script>alert(document.cookie);</script> 를 추가해서 이동하면
쿠키가 보이는 상태가 되어 있습니다.
검색해보니 XSS 패치를 해야 하는데..
게시판에 적어서 작동하는건 막는데.. 직접쳐서 들어오는건 어떤식으로 막아야 할지 고민입니다.
|
댓글을 작성하시려면 로그인이 필요합니다.
댓글 5개
$qqq = $_GET['qqq'] = $_POST['qqq'] = str_replace('<',<,$_GET['qqq']);
한줄 추가해보세요.
그거 체크해서 잘못된 접근이라고 차단 하시면 됩니다.
그외에 경우라면 변수값을 검사하는 함수 하나 만들어서 차단 하시면 됩니다.