본문 바로가기

jsoup2

Jsoup을 사용한 화이트 리스트 방식의 XSS(Cross-Site Script)공격 방어 웹 페이지에서 CKEditor 와 같은 HTML에디터를 이용해서 데이터를 입력받아 보여줄때 고려해야 할것으로 XSS(Cross-Site Script)공격이 있습니다. 글을 작성하는 사용자가 HTML을 사용할 수 있도록 허용하게 되면 자바스크립트도 사용할 수 있게 되므로 XSS공격을 쉽게 할 수 있는 환경이 됩니다. HTML코드에서 자바스크립트를 실행할 수 있는 방법은 수도 없이 많으므로 "+ ""; String safeDoc = Jsoup.clean(htmlDoc, Whitelist.basic()); System.out.println(safeDoc); 결과)TEST 화이트 리스트의 basic() 메소드에서는 다음 태그와 속성을 허용합니다. public static Whitelist basic() { re.. 2019. 2. 26.
jsoup : 자바 HTML 파서(Java HTML Parser) CKEditor, Smart Editor 같은 HTML 에디터로 글을 작성하는 사이트의 경우 작성된 글에서 html 태그(tag)를 제거한 순수한 텍스트만을 추출하거나, img 태그만을 추출하여 썸네일(Thumbnail)을 만들거나 하는 일이 종종 있습니다. 이러한 기능을 정규식(Regular Expression)을 사용하여 직접 만들어 쓰기도 하는데, 그 기능에는 제한이 있을 수밖에 없습니다. 이번에 소개하는 jsoup은 자바(Java)로 만들어진 HTML 파서(Parser) 입니다. jsoup은 자바 언어로 HTML을 다루는 쉽고, 강력한 기능을 제공합니다. jsoup로 다음과 같은 작업을 할 수 있습니다. * URL, 파일, 문자열을 소스로 하여 HTML을 파싱할 수 있습니다. * DOM 구조를 추.. 2018. 4. 9.