Internet Explorer 8(IE8)의 신기능 중 하나인 XSS(Cross Site Scripting) 차단은, 브라우저 차원에서 사용자의 컴퓨터에 해를 입힐 수 있는 자바스크립트를 차단하는 기능입니다.
사용자의 컴퓨터에 해를 끼칠 수 있는 악성 코드로 IE6과 IE7이 많은 말썽을 일으켰던 것에서 착안한 모양인데요, 어쨌든 IE8에서는 이 XSS 차단 기능이 기본 옵션으로 작동하고 있습니다.
자바스크립트 등 특정 코드가 웹페이지에서 감지되면 노란 경고문을 브라우저 창에 띄우면서 그 코드의 작동을 차단합니다.
하지만 MS의 모든 제품군이 그렇듯이, IE8의 XSS 차단 기능은 몇 가지 사소하지만 중대한(?) 문제를 안고 있습니다.
악성코드라고 할 수 없는 일부 코드까지 함께 차단한다...는 것입니다.
특히 자바스크립트에 괄호'('가 들어가면 무조건 악성 코드로 판단하고 차단하는 것 같습니다.
지금 이 블로그에는 다음 애드클릭스 광고가 들어가 있는 상태인데, 이 광고 스크립트는 IE8 XSS 차단 기능을 켜 놓고 있으면 악성 코드로 분류되어 작동하지 않습니다.
더불어 위의 사진처럼 노란 줄이 생기죠.
이것때문에 많은 웹프로그래머들이 골치를 좀 썩은 모양입니다.
서버에서 header를 선언하면 문제가 해결된다고 하는데, 포털이나 기타 서비스에 종속된 웹서비스를 쓰는 일반 사용자들은 해결 방법이 거의 없다고 봐도 됩니다.
사용자의 컴퓨터에 해를 끼칠 수 있는 악성 코드로 IE6과 IE7이 많은 말썽을 일으켰던 것에서 착안한 모양인데요, 어쨌든 IE8에서는 이 XSS 차단 기능이 기본 옵션으로 작동하고 있습니다.
자바스크립트 등 특정 코드가 웹페이지에서 감지되면 노란 경고문을 브라우저 창에 띄우면서 그 코드의 작동을 차단합니다.
이런 식으로 노란 경고문을 띄웁니다. 사이트의 다른 기능에는 문제가 없지만 어딘가 신경 쓰입니다.
악성코드라고 할 수 없는 일부 코드까지 함께 차단한다...는 것입니다.
특히 자바스크립트에 괄호'('가 들어가면 무조건 악성 코드로 판단하고 차단하는 것 같습니다.
지금 이 블로그에는 다음 애드클릭스 광고가 들어가 있는 상태인데, 이 광고 스크립트는 IE8 XSS 차단 기능을 켜 놓고 있으면 악성 코드로 분류되어 작동하지 않습니다.
더불어 위의 사진처럼 노란 줄이 생기죠.
이것때문에 많은 웹프로그래머들이 골치를 좀 썩은 모양입니다.
서버에서 header를 선언하면 문제가 해결된다고 하는데, 포털이나 기타 서비스에 종속된 웹서비스를 쓰는 일반 사용자들은 해결 방법이 거의 없다고 봐도 됩니다.
가장 간단한 해결책은 XSS 필터 해제
가장 간단하게 사용자가 이 문제를 해결 할 수 있는 방법은 XSS 필터를 끄는 것입니다.
XSS 차단 기능이 강력하다거나, 포기하기 어려운 기능이라면 모르겠지만 현재로서는 그다지 믿음직스럽지도 못합니다.
호환성 문제 때문에 이 이상으로 더욱 강력하게 적용하기도 어렵고, 몇 가지 꽁수로 쉽게 회피하는 방법도 있기 때문입니다.
XSS를 끄는 방법은 아주 간단합니다.
XSS 차단 기능이 강력하다거나, 포기하기 어려운 기능이라면 모르겠지만 현재로서는 그다지 믿음직스럽지도 못합니다.
호환성 문제 때문에 이 이상으로 더욱 강력하게 적용하기도 어렵고, 몇 가지 꽁수로 쉽게 회피하는 방법도 있기 때문입니다.
XSS를 끄는 방법은 아주 간단합니다.
인터넷 옵션 -> 보안 -> 사용자 지정 수준 클릭
중간 쯤에 위치하고 있는 'XSS 필터 사용'을 '사용 안함'으로 고친 다음 OK 하면 됩니다.
비교적 간단하게 XSS 필터를 해제 할 수 있습니다만, 보안이 염려되시는 분이나 별도의 바이러스 백신을 사용하지 않는 분(위험천만한 일입니다. 즉시 바이러스 백신을 까세요!)들께서는 XSS 필터를 계속 사용하시는 것을 권해 드립니다.