전자정부프레임워크에서 제공하는 HTMLTagFilter 는 <c:out/> 을 사용하지 못하는 경우에 XSS 처리를 위해 입력 파라미터에 '<'와 같은 문자열을 '<' 등으로 변환해주는 기능이라고 합니다.
이 필터는 <c:out />을 사용하지 못하는 경우에 적용하도록 제공되는 기능이라고 합니다. 둘 다 사용하는 경우 원하는 결과를 얻을 수 없다고 합니다. <c:out />을 표시해 주면 XSS에 문제가 되지 않는다고 합니다.
<c:out />을 사용하면 원래 데이터를 그대로 DB상에 보관할 수 있습니다.
HTMLTagFilter를 사용하면 '<' 이 < 와 같이 변경되어서 저장되게 됩니다.
<c:out />을 사용하면 원래 데이터를 그대로 DB상에 보관할 수 있구요, HTMLTagFilter는 변경된 형태로 저장됩니다.
HTMLTagFilter는 첨부파일이 있는 enctype="multipart/form-data" 방식의 경우는 처리되지 않습니다.
HTMLTagFilter를 사용하기 위해서는 web.xml 에 다음 코드를 삽입해 주어야 합니다.
<filter> <filter-name>HTMLTagFilter</filter-name> <filter-class> egovframework.rte.ptl.mvc.filter.HTMLTagFilter </filter-class> </filter> <filter-mapping> <filter-name>HTMLTagFilter</filter-name> <url-pattern>*.do</url-pattern> </filter-mapping>