<div>이번에 댓글에 댓글다는 기능을 추가해주셨는데 어느 유저가 javascript URL로 해당 기능을 재귀적으로 사용할 수 있게 만든것을 보았습니다. 물론 기능 자체는 유용하다고 생각되나 이는 일종의 XSS공격이라고 볼 수 있습니다. 임의의 사용자가 작성한 코드가 우리의 웹 브라우저에서 그대로 실행되는 것이니까요. 비록 악의적인 코드는 아니더라도요. 물론 그 URL을 직접 주소창에 입력하기때문에 실행하는 사람이 소스내용을 확인할 수 있긴 합니다. 그러나 모든 사람들이 javascript소스를 읽고 해석할 수는 없지 않습니까? 처음에는 서버에서 해당 기능을 방지할 수 있지 않을까하고 생각을 했었는데 이건 기존의 XSS공격과 달리 스크립트를 서버에 업로드하는 방식이 아니기때문에 서버측에서 대응하기는 어려워 보입니다. 그러니 유저들이 스스로 경각심을 가지고 javascript URL의 사용을 지양해야할것 같습니다.</div> <div>한가지 예를 들어 볼게요.</div> <div>javascript:void(alert(document.cookie));</div> <div>위 스크립트는 쿠키를 alert해주는 기능뿐이지만 조금 손보면 쿠키를 특정 서버로 전송하도록 바꿀 수도 있습니다.</div> <div>외부로 노출되면 안될 쿠키가 외부로 노출되는 것이죠.</div> <div> </div> <div>사실 예전에는 더 심각했습니다. 3~4년 전쯤에 누가 댓글창 색깔 번쩍거리게 만든 게시글을 봤었는데 기억하시는분이 있을지 모르겠습니다. 뭐 클럽이다 뭐다 하면서 다들 신나서 댓글달고 그랬었는데... 그때 소스를 보니 외부 서버에 js파일 업로드해두고 import시키도록 해놨더군요. XSS취약점을 이용한겁니다. 그래서 당시에 제가 테스트를 해봤었는데 <script>는 필터링이 되었지만 <ScRipt>처럼하면 필터링이 안 되는 등 필터링 기능이 미약했었습니다. 지금 해보니 다행히 이부분은 고친것 같네요.</div>