[중요] ajax 호출시 json 데이터로 보낼때도 보안 적용(Comment 추가시)

[eunja511005]

[eunja511005]

계속 쌍따옴표 이슈가 있어서 아래와 같이 해결 함 => 취약점 점검 완료 후 return cleanResults.getCleanHTML(); 이 부분에서 쌍따움표가 치환이 되어서 나오므로 일단 치환 된걸로 받고 이걸 다시 쌍따옴표로 치환 하도록 수정

            String sanitizedJson = sanitize(json);
            sanitizedJson = sanitizedJson.replaceAll(""", "\"");

[eunja511005]

XSS 테스트

<script>alert('1')</script>
<script>alert(document.cookie)</script>
<body onload=alert('something')>;
<b onmouseover=alert('XSS testing!')></b>

[eunja511005]

써머노트는 자체적으로 방어하고 있는거 같음