GET,POST값 등을 JAVASCRIPT에서 사용할 경우 보안 문제 발생 가능. 해결법
<script>//<!– or //<![CDATA[
~~~ 내용 ~~~
//–> or// ]]>
</script>
기본 자바스크립트 모양이 이럴건데 <!– 등 때문에 살짝 문제가됨.
문제점
<script>//<!–
var req = “<?=$_GET[‘req’]?>”;
//–>
</script>
처럼 할 경우 req의 내용이 “;–> <script>alert(‘X’);</script> 처럼 되어있다면?
<script>//<!–
var req = “”;–> <script>alert(‘X’);</script>”;
//–>
</script>
이렇게 결과가 되며 스크립트 동작에 문제가 있을 수 있다.(요즘 브라우저는 스크립트 공격으로 보고 스크립트 동작을 멈춘다.)
$_GET말고도 DB의 내용등 PHP에서 javascript로 값을 남겨 사용할 경우도 똑같다.
#해결법
<!– 등의 HTML 주석 처리 부분을 빼고, htmlspecialchars() 를 사용한다.
<script>var req = “<?=htmlspecialchars($_GET[‘req’])?>”; </script>
아래처럼 HTML엔터티 처리가되서 무사 OK <script> var req = “";–> <script>alert(‘X’);</script>”; </script>
#추가 스크립트 코딩시 &나 >,< 같은 단어의 엔터티 처리가 힘드므로
<script>var req = “<?=htmlspecialchars($_GET[‘req’])?>”; </script>
<script>
//<!–
var f = document.form1;
f.req.value = req;
//–>
</script>
처럼 값 선언 부분과 비지니스 처러 부분을 따로하고 비니지스 처리 부분만 HTML 주석처리 해주면 된다.