스터디
-
잘못된 URI 접근 시, 커스텀 에러 페이지로 이동스터디 2018. 9. 4. 19:41
이번 포스팅은 사용자가 잘못된 URI를 입력했을 때, 커스텀 에러 페이지로 가게 하는 방법에 대해 알아보겠습니다. 아래는 프로젝트 진행시 요구사항이었습니다. 주목해서 볼 부분은 세 번째 항목인 스프링 시큐리티를 사용하지 못하도록 한 부분입니다. 스프링 시큐리티를 사용하지 않고, 잘못된 URI 입력했을 때 커스텀 에러 페이지로 가게 하는 가장 쉬운 방법은 인터셉터에서 요청 URI를 검사하여 허용하지 않은 URI일 경우 에러 페이지로 리다이렉트해주는 것입니다. 그래서 아래와 같이, 허용된 URI를 직접 관리해서 이것 이외의 URI가 요청될 경우 에러페이지로 리다이렉트 하는 식으로 구현했습니다. 하지만 이러한 방법에는 몇가지 문제가 있다고 생각했습니다. 첫 번째로, URI가 새로 추가 될 때마다, 매번 URI..
-
XSS 공격에 대한 방어스터디 2018. 9. 4. 16:04
프로젝트를 진행하며 XSS(Cross Site Scripting) 공격에 대한 방어를 하기 위해 네이버에서 개발한 Lucy-Xss-Servlet-Filter 라이브러리를 사용했습니다. 해당 라이브러리는 웹어플리케이션으로 들어오는 모든 요청 파라미터에 대해 기본적으로 XSS 방어 필터링을 수행합니다. 하지만 Lucy-Xss-Servlet-Filter 라이브러리는 form-data에 대해서만 적용되고 JSON에 대해서는 처리해주지 않는다는 단점이 있습니다. 이를 위해 별도로 Request Body로 넘어오는 JSON에 대한 필터를 등록해줬습니다. (마지막 부분에는 Lucy-Xss-Servlet-Filter를 사용하지않고 XSS 공격을 방어하는 법을 소개하겠습니다.) Lucy-Xss-Servlet-Filter..