저장형 XSS(Stored Cross Site Scripting) 공격과 방어

• 저장형 XSS(Stored Cross Site Scripting) 공격은 서버에 악성 스크립트를 저장하여 발생하며, 게시판이나 사용자 프로필 등에 악성 스크립트가 저장되어 클라이언트의 브라우저로 전달되어 문제가 발생한다.

• 공격 시나리오는 악의적인 사용자가 취약한 사이트를 발견하고, 게시판에 악성 스크립트를 올린 후 일반 사용자가 게시글을 읽어 악성 스크립트가 실행되어 사용자 정보가 악의적인 사용자에게 전달되는 과정이다.

• 저장형 XSS 공격 방어: 사용자 입력 검증 및 변경을 통해 악성 스크립트를 제거하고, JSTL 라이브러리의 출력 태그를 사용하여 스크립트 실행을 방지함.

• PostController 클래스와 Post 클래스에 수정사항 적용하여 사용자가 입력한 값을 그대로 저장하지 않고, 안전한 방법으로 출력함.