Q & A

시삽: 레드플러스 님 
게시판 이동:
 제목 : Re : 안녕하세요 한가지만 더 질문 드려도 될까요?
글번호: 972
작성자: 레드플러스
작성일: 2021/09/17 오후 1:20:00
조회수: 556

 

안녕하세요.

 

따로, 코드 비하인드에서 클라이언트 측에 출력된 태그(스크립트 태그...)를 알 수는 없습니다. 

 

만약, 특정 웹폼 페이지에

원하지 않는 스크립트 코드가 포함되었다면,

SQL 인젝션 공격을 의심해 볼 수 있습니다.

<scripte /> 태그가 해당 페이지에서 사용되는 데이터베이스의 테이블의 컬럼에 저장되었는지 확인해보세요.

 

이러한 경우에는

게시판을 예로 들면, 

글쓰기 페이지에서 < 기호를 &lt;과 같이 인코딩해서 저장해야 하고,

ADO.NET 코드에 반드시 인라인 SQL이 아닌 파라미터화된 SQL 구문으로 변경해야 합니다.

구글에서 SQL Injection으로 검색하면 많은 정보를 얻으실 수 있습니다.

 

ASPX 파일의 소스에 <script /> 코드가 없는데,

실행되는 페이지에는 <script /> 코드가 포함된다면, 이미 해당 스크립트 코드는 테이블에 저장되어 있을 듯 합니다.

테이블에 저장된 <script /> 구문이 실행되지 않도록 지난 번 문의 때 회신 드렸던

Html 코드가 실행되지 않도록 Encode() 메서드 등으로 묶어서 출력해야 합니다.


 

결론적으로 말씀드려,

1. SQL Injection 대비

2. HTML 인코드 저장 또는 출력

 

이 두가지를 고민해 보시면 좋을 듯 합니다.

 

감사합니다.

 

 

 

 


On 2021-09-17 오후 1:04:00, '민성' wrote:

 

 


 

aa.aspx 에 

이런 스크립트 삽입코드가 있을때

<script type="text/javascript" src="https://ajax.googleapis.com/ajax/libs/jquery/1.11.1/jquery.min.js"></script>

 

asp.net에서 비하인드 코드에서 해당 스크립트가 삽입된지 알 수 있을까요?

 

아니면 자바스크립트 코드에서 이런 해당 스크립트를 실행 못하도록 할 수 있을까요?

우리가 원치 않는 js가 어떤 이유인지 aspx에 화일에 삽입코드가 생성됩니다.

그래서 방법이 있는지 여쭈어 봅니다.

 

항상 감사드립니다.

 

 

 
이전 글   다음 글 삭제 수정 답변 글쓰기 리스트

(댓글을 남기려면 로그인이 필요합니다.)

관련 아티클 리스트
  제       목 파일 작성자 작성일 조회
이전글 asp.net core 파일 관련 문의 - 김태진 2021-09-24 715
  안녕하세요 한가지만 더 질문 드려도 될까요? - 민성 2021-09-17 699
현재글 Re : 안녕하세요 한가지만 더 질문 드려도 될까요? - 레드플러스 2021-09-17 556
다음글 안녕하세요 asp.net 사용자 정의 컨트롤에서 다른 사용자 정의 컨트롤로 이동 - 민성 2021-09-16 696
 
손님 사용자 Anonymous (손님)
로그인 Home