9.3. 교차 사이트 스크립팅(XSS)

OpenStack 대시보드는 대부분의 필드에서 전체 유니코드 문자 집합을 허용합니다. 악의적인 작업자에서는 이러한 확장성을 사용하여 XSS(Cross-site scripting) 취약점을 테스트할 수 있습니다. OpenStack Dashboard 서비스(horizon)에는 XSS vulnerabilites에 대해 강화되는 툴이 있습니다. 사용자 지정 대시보드에서 이러한 도구를 올바르게 사용하는지 확인하는 것이 중요합니다. 사용자 정의 대시보드에 대한 감사를 수행할 때 다음 사항에 유의하십시오.

  • mark_safe 함수.
  • is_safe - 사용자 지정 템플릿 태그와 함께 사용하는 경우입니다.
  • safe 템플릿 태그입니다.
  • 어디에서나 자동 이스케이프가 해제되고 부적절하게 이스케이프된 데이터를 평가할 수 있는 JavaScript가 모두 해제됩니다.