# lucy-xss-filter

chocoallergie

3. 웹 브라우저에서 데이터를 필터링 하는 방식을 사용할 수 있는데, 이는 웹 보안에서 중요한 것이라고 한다. 이때 외부 라이브러리를 사용할 수 있는 방법이 있다는데 장단점이 무엇일까? 이걸 사용함으로써 얻을 수 있는 보안이슈는 뭘까? XSS 방어를 위한 외부 보안 라이브러리 MS의 AntiXSS, OWASP의 ESAPI 라이브러리, Naver의 Lucy XSS Filter 등이 있다. 장점 : XML 설정만으로 XSS 방어가 가능 비즈니스 레이어의 코드 수정이 발생하지 않는다. 개발자가 XSS 방어를 신경쓰지 않아도 된다 XSS 방어가 누락되지 않는다 설정 파일 하나로 XSS 방어 절차가 파악됨 단점 : 파라미터명에 대해 관리가 필요 일괄 적용되어 전체가 영향 받으므로 정확한 필터링 룰 정의가 중요 100%는 없기에 단독 사용만으로는

dayoung_sarah

💡 스프링으로 프로젝트를 진행하다 게시판에서 에디터를 사용하면서 디비에 html 태그를 저장하게 되었다. 그 과정에서 XSS 공격을 방지하는 필터를 적용하기 위해 방법을 찾다가, 네이버가 제공하는 XSS 공격을 방어하는 라이브러리 ‘lucy-xss-filter’를 사용하기로 하였다. > lucy-xss-filter는 크게 두 가지가 존재한다. lucy-xss-filter lucy-xss-servlet-filter 이름에서도 어렴풋이 알 수 있듯이 두번째는 serlvet filter에 추가하는 것이고, 첫번째는 원하는 곳에서 등록한 filter를 불러와서 사용할 수 있다. serlvet filter를 사용하게 될 경우, 모든 요청 파라미터를 검사하기에 신중히 사용해야 한다. 해당 글에선 lucy-xss-filter에 대해서만 알아본다. > [lucy-xss-filter](https://github.com/naver/