less than 1 minute read

<script>//<!– or //<![CDATA[ ~~~ 내용 ~~~ //–> or// ]]>
</script>

기본 자바스크립트 모양이 이럴건데 <!– 등 때문에 살짝 문제가됨.


문제점

<script>//<!– var req = “<?=$_GET[‘req’]?>”; //–>
</script>

처럼 할 경우 req의 내용이 “;–> <script>alert(‘X’);</script> 처럼 되어있다면?

<script>//<!– var req = “”;–> <script>alert(‘X’);</script>”; //–>
</script>

이렇게 결과가 되며 스크립트 동작에 문제가 있을 수 있다.(요즘 브라우저는 스크립트 공격으로 보고 스크립트 동작을 멈춘다.)

$_GET말고도 DB의 내용등 PHP에서 javascript로 값을 남겨 사용할 경우도 똑같다.


#해결법

<!– 등의 HTML 주석 처리 부분을 빼고, htmlspecialchars() 를 사용한다. 

<script>var req = “<?=htmlspecialchars($_GET[‘req’])?>”; </script>

아래처럼 HTML엔터티 처리가되서 무사 OK <script> var req = “&quot;;–&gt; &lt;script&gt;alert(‘X’);&lt;/script&gt;”; </script>


#추가 스크립트 코딩시 &나 >,< 같은 단어의 엔터티 처리가 힘드므로

<script>var req = “<?=htmlspecialchars($_GET[‘req’])?>”; </script>

<script> //<!– var f  = document.form1; f.req.value = req;
//–> </script>

처럼 값 선언 부분과 비지니스 처러 부분을 따로하고 비니지스 처리 부분만 HTML 주석처리 해주면 된다.


🔗original-link

Updated: