JSP + JavaScript 환경에서 XSS 방어 실패 원인과 해결

📌 JSP + JavaScript 환경에서 XSS 방어 실패 원인과 해결

1. 문제 상황

• JSP에서 ${ajaxId} 값을 JavaScript 및 HTML에 전달
• <c:out> 및 hidden input 사용했음에도 XSS 방어 실패
• 예:

ajaxId: '<c:out value="${ajaxId}"/>'

 

---

2. 원인 분석

🔥 (1) 컨텍스트 불일치 (핵심 원인)

• <c:out>은 HTML escape만 수행
• 하지만 아래는 JavaScript 문자열 컨텍스트

'${ajaxId}'

 

👉 HTML escape ≠ JavaScript escape
→ XSS 방어 실패

---

🔥 (2) EL 직접 출력 (${ajaxId})

 

<input value="${ajaxId}">

 

• EL은 escape 없음
• 악성 값 삽입 시 그대로 DOM에 반영

---

🔥 (3) 서버 측 검증 부재

• ajaxId에 대한 제한 없음
• 예:

"><script>alert(1)</script>

 

👉 escape 이전에 입력 자체를 신뢰하면 안 됨

---

3. 해결 방법

✅ (1) JavaScript 직접 삽입 제거 (가장 중요)

❌ 잘못된 방식

ajaxId: '${ajaxId}'

 

✅ 개선

var ajaxId = document.querySelector('input[name="ajaxId"]').value;

 

👉 DOM 기반 접근으로 전환

---

✅ (2) JSP 출력 시 escape 적용

 

<input type="hidden" name="ajaxId"
value="<c:out value='${fn:escapeXml(ajaxId)}'/>"/>

 

👉 HTML 컨텍스트 안전성 확보

---

✅ (3) 서버 유효성 검증 추가 (필수)

if (!ajaxId.matches("^[a-zA-Z0-9_-]+$")) {
	throw new IllegalArgumentException("Invalid ajaxId");
}

 

👉 공격 벡터 원천 차단

---

✅ (4) 역할 분리 원칙 적용

영역책임

서버	입력값 검증 (Validation)
JSP	출력 시 escape
JavaScript	데이터 직접 삽입 금지

---

4. 잘못된 대응 사례

방법문제

<c:out>만 사용	JS 컨텍스트에서 무력
hidden input 사용만 믿음	값 자체가 오염되면 무의미
MultipartFilter 추가	XSS와 무관 (파일 업로드용)

---

5. 최종 구조 (권장 패턴)

JSP

 

<input type="hidden" name="ajaxId"
value="<c:out value='${fn:escapeXml(ajaxId)}'/>"/>

JavaScript

 

const ajaxId = document.querySelector('input[name="ajaxId"]').value;
ajaxLoadHttpConn({
	ajaxId: ajaxId
});

 

Server

 

if (!ajaxId.matches("^[a-zA-Z0-9_-]+$")) {
	throw new SecurityException("Invalid ajaxId");
}

---

6. 핵심 교훈

• Escape는 만능이 아니다 (Context-aware escaping 필요)
• XSS 방지는 출력 단계가 아니라 입력 + 출력 모두 고려해야 한다
• JavaScript 컨텍스트에서는 HTML escape가 무력화될 수 있다
• 데이터는 코드에 삽입하지 말고, DOM을 통해 전달해야 한다
• 보안은 필터 하나로 해결되지 않는다 (다층 방어 필요)