14.4. 교차 사이트 스크립팅 (XSS)
OpenStack 대시보드는 대부분의 필드에서 전체 유니코드 문자 세트를 허용합니다. 악의적인 행위자는 이 확장성을 사용하여 XSS(Cross-site scripting) 취약점을 테스트할 수 있습니다. OpenStack Dashboard 서비스(horizon)에는 XSS vulnerabilites에 대해 강화되는 도구가 있습니다. 사용자 지정 대시보드에서 이러한 툴을 올바르게 사용하는지 확인하는 것이 중요합니다. 사용자 정의 대시보드에 대한 감사를 수행할 때 다음 사항에 주의하십시오.
-
mark_safe
함수입니다. -
is_safe
- 사용자 지정 템플릿 태그와 함께 사용하는 경우 -
safe
템플릿 태그입니다. - 어디에서나 자동 이스케이프가 해제되고, JavaScript가 잘못 이스케이프된 데이터를 평가할 수 있습니다.