XSS는 두가지가 있습니다. 1) Reflected XSS : URL 파라미터(주로 GET)에 스크립트를 넣어 서버 저장 없이 스크립트 실행 2) Stored XSS : 게시글, 댓글 등 XSS 스크립트가 서버 DB에 저장되어, 해당 게시글/댓글 보여질때마다 스크립트 실행 이 글에서는 백앤드 REST API에서의 Stored XSS를 막는 XSS Filter를 적용하는 법과 Spring Security를 통해 Reflected XSS를 막는 헤더를 추가하는 법을 작성합니다. 최종 코드만 바로 적용하고 싶으신 분들은 아래 내용만 복사하셔서 프로젝트에 적용하시면 됩니다. 1번의 gradle과 xml코드 2번의 HtmlCharacterEscapes와 XssConfig 클래스 Java 코드 다른 글의 XSS F..

크롬 안전하지 않은 정보를 제출하려 함 에러 문제와, flag 값 disable을 통한 임시해결책을 작성해둡니다. http -> https -> http 로의 인증(SAML)이 필요하여 테스트중 크롬에서 아래와 같이 "안전하지 않은 정보를 제출하려 함" 이라는 에러가 발생하였습니다. 크롬에서 https -> http 호출에 대해서 보안 문제로 에러가 발생하도록 업데이트를 한것으로 보입니다. 해당 내용에 대해서 크로미움에 이슈가 올라와 있어, 좀 확인을 해 봤습니다. 이슈가 올라온 날이 2020/12/13 인데, 이쯤 해당 Warning에 대해 업데이트가 된 것으로 보입니다. 1158169 - Form is not Secure issue on new version fo chrome (chromium.org..