9.3. 교차 사이트 스크립팅(XSS)
OpenStack 대시보드는 대부분의 필드에서 전체 유니코드 문자 집합을 허용합니다. 악의적인 작업자에서는 이러한 확장성을 사용하여 XSS(Cross-site scripting) 취약점을 테스트할 수 있습니다. OpenStack Dashboard 서비스(horizon)에는 XSS vulnerabilites에 대해 강화되는 툴이 있습니다. 사용자 지정 대시보드에서 이러한 도구를 올바르게 사용하는지 확인하는 것이 중요합니다. 사용자 정의 대시보드에 대한 감사를 수행할 때 다음 사항에 유의하십시오.
-
mark_safe
함수. -
is_safe
- 사용자 지정 템플릿 태그와 함께 사용하는 경우입니다. -
safe
템플릿 태그입니다. - 어디에서나 자동 이스케이프가 해제되고 부적절하게 이스케이프된 데이터를 평가할 수 있는 JavaScript가 모두 해제됩니다.