hoony's web study

Lucy XSS Servlet: Java 웹 애플리케이션의 XSS 공격 방어책

개발관련/java 개발관련
2024. 7. 17. 10:32
728x90
반응형


요즘 제가 프로젝트를 하나 진행하고 있는데요. 
Java 웹 애플리케이션에서 자주 발생하는 보안 취약점인 크로스 사이트 스크립팅(XSS)을 방지하는 데 도움을 주는 Lucy XSS Servlet에 대해 알아보겠습니다.

 주요특징

1. 설정 기반 필터링: XML 설정 파일을 통해 필터링 규칙을 쉽게 정의할 수 있습니다.
2. 다양한 문자 인코딩 지원: UTF-8, EUC-KR 등 다양한 문자 인코딩을 지원합니다.
3. 성능 최적화: 빠른 처리 속도를 위해 최적화되어 있습니다.
4. 커스터마이징 가능: 필요에 따라 필터링 규칙을 확장하거나 수정할 수 있습니다

사용방법

1. Maven 의존성 추가 

<!-- https://mvnrepository.com/artifact/com.navercorp.lucy/lucy-xss-servlet -->
        <dependency>
            <groupId>com.navercorp.lucy</groupId>
            <artifactId>lucy-xss-servlet</artifactId>
            <version>2.0.1</version>
        </dependency>

위의 예시처럼 Pom.xml 에 의존성을 추가합니다. 

2. WebMvcConfigurer와 관련된 class 에 아래를 추가합니다. 

 @Bean
    public FilterRegistrationBean<XssEscapeServletFilter> getFilterRegistrationBean(){
        FilterRegistrationBean <XssEscapeServletFilter> xssRegistrationBean = new FilterRegistrationBean<>();
        xssRegistrationBean.setFilter(new XssEscapeServletFilter());
        xssRegistrationBean.setOrder(Ordered.LOWEST_PRECEDENCE);
        xssRegistrationBean.addUrlPatterns("/*");
        return xssRegistrationBean;
    }

3. src/main/resources 경로에 lucy-xss-servlet-filter-rule.xml 파일 생성 

<?xml version="1.0" encoding="UTF-8"?>
<config xmlns="http://www.navercorp.com/lucy-xss-servlet">
    <defenders>
        <!-- XssPreventer 등록 -->
        <defender>
            <name>xssPreventerDefender</name>
            <class>com.navercorp.lucy.security.xss.servletfilter.defender.XssPreventerDefender</class>
        </defender>
    </defenders>
    <!-- default defender 선언, 별다른 defender 선언이 없으면 default defender를 사용해 필터링 한다. -->
    <default>
        <defender>xssPreventerDefender</defender>
    </default>

필요한 만큼만 적용을 하시면 됩니다. 

4. 예외파라미터 설정 

<!-- global 필터링 룰 선언 -->
    <global>
        <!-- 모든 url에서 들어오는 globalParameter 파라메터는 필터링 되지 않으며 
                또한 globalPrefixParameter로 시작하는 파라메터도 필터링 되지 않는다. -->
        <params>
            <param name="globalParameter" useDefender="false" />
            <param name="globalPrefixParameter" usePrefix="true" useDefender="false" />
        </params>
    </global>

 

결론

결론으로 말씀드리자만 위의 것만 설정하시면 왠만한것들은 다 방어가 가능합니다. 
하지만 완벽한 것은 없으니 많은 단위테스트가 필요합니다. ^^

 

728x90

'개발관련 > java 개발관련' 카테고리의 다른 글

Java에서 equals와 equalsIgnoreCase의 차이  (0) 2024.09.24
Base64 인코딩된 이미지의 크기 구하기  (0) 2024.06.27
Jasypt 를 이용한 암호화 하기  (1) 2024.06.10
[Egov Framework] 전자정부프레임워크 고질적인 문제해결 (infinity redirection)  (0) 2023.10.19
[SpringBoot] 3.0 이상에 대한 JDK 변경점  (0) 2023.03.09

공유하기

facebook twitter kakaoTalk kakaostory naver band
'개발관련/java 개발관련' 의 관련글
loading

티스토리툴바