전체 글
알고 사용하지 말자[JAVA] HttpConnect를 통해 API 호출 및 데이터 받기
프로젝트를 진행하던 중 다른 업체에서 제공하는 API를 호출하여 메시지를 보내거나, 메일을 보내는 달라는 요청이 와서 기존 함수를 확인해보니 제대로 작동하지 않아 참고하여 다시 만들었고 해당 내용을 공유하고자 합니다. 해당 API는 POST방식만 지원하기에 POST방식으로만 작성했습니다. java에서 외부 api를 호출 및 사용할 때에는 java.net.*를 사용하면 됩니다. 우선 해당 URL에 연결 및 발송하는 부분을 만들어주고 // ApiConnectUtil.java public class ApiConnectUtil { /** * URL로 부터 결과를 얻는다. * @param url파라미터를 제외한 URL * @param params파라미터들 * @return결과 문자열 * @throws Except..
[SEO] 검색 사이트 노출(검색) 방지 및 수집 금지 요청
최근 고객사에서 개발서버의 웹사이트가 노출되어 고객에게 혼란을 줄 수 있다는 요청이 들어와 확인을 해보니 예전에 누가 등록을 한건지 검색이 잘 되고 있었다. 처음엔 소유권을 뺐어 사이트 노출 금지 요청을 하려 했으나, 등록된 사이트를 전부 아는 것도 아니고 추후 프로젝트 담당자가 변경된다면 누군가는 같은 일을 할 것이라고 생각했다. 하여 검색 엔진의 수집 로봇에게 수집 금지 요청을 하면 자동으로 내려갈 것 이라고 생각했고 검색을 해보니 해당 내용이 맞았다. 위 내용을 잘 보면 robots.txt파일에서 경로를 차단해버린다면 아예 크롤링 시도를 하지 않아 meta태그의 noindex, nofollow의 내용을 인지하지 못해 안된다는 내용이 있다. 해더에 해당 내용을 삽입한다면 profile이 dev일 때,..
[XSS] 크로스 사이트 스크립팅 공격과 대응 방법
우선, 저는 보안에 대해 전문가가 아니며 웹페이지 구축 중 습득한 정보, 공부한 정보를 바탕으로 정리를 기반하여 이 글을 작성합니다. XSS란? XSS는 Cross Site Scripting의 약자로 악의적인 스크립트 언어를 웹페이지에 삽입 후 그 웹페이지에 방문하는 사람의 쿠키, 세션의 정보를 탈취하여 해커에서 전송하거나 악의적인 행동을 하는 공격 기법입니다. 이 XSS는 여러가지 공격 기법이 있는데 대표적으로 url에 코드 삽입, 검증되지 않은 url로 값 전송, script 삽입 등이 있다. XSS공격은 방법이 무수히도 많고 방문하는 웹사이트를 공격하여 악의적인 스크립트를 심어두고 방문자를 공격하는 방식이라 안전한 사이트라고 생각한 곳에서도 공격을 당할 수 있습니다. 공격 종류 콘텍스트 코딩 방어책..