1	비공개 손님 … 2018-02-02 17:29:11
	이벤트 속성들을 문자열 변경 해버리시죠.

2	비공개 손님 … 2018-02-02 17:54:16
	1. html 을 DOM 파싱한다. (java: HtmlCleaner, python: html-sanitizer 등) 2. tree 탐색으로 DOM 내의 모든 node 를 방문하면서 onXXX 류 attribute 들을 제거한다. 3. DOM 을 html 파일로 다시 출력한다. (stdout, file, socket, 등)

3	비공개 손님 … 2018-02-02 17:58:26
	문자열 변경같은 naïve 한 방식은 broken HTML 로 인한 다른 검사를 피할 수 있는 문제들이 있으니 안하는게 좋습니다. 예를들어 아래와 같은 입력이 들어왔을때 on_error="js1; js2; js3" 필터링규칙을 on_error=".*"$ 같은 정규식으로 해뒀다면 줄바꿈한 다음 태그가 그대로 실행되어버리는 문제가 있음. 사용자 입력을 적당히 재출력하는 앱에 필요한 기능같은데요, 저런데다가 악의적인 js 를 심는 공격이 가능해요. 허접한 사이트들 대부분 사용자 입력을 굉장히 naïve 한 방식으로 처리하는 경우가 많은데 공격자들은 가차없습니다. 반드시 사용자 입력을 깔끔하게 정리(sanitisation) 후 문자열 변경방식을 쓰던, DOM 수정을 하던가 하는게 안전합니다.

4	비공개 손님 … 2018-02-02 18:24:01
	답변 감사합니다. onXXX 으로 접근 말고 다른 방법으로 함수가 실행되는 경우는 없을까요? mouseover는 안되는거로 확인하긴 했는데 비슷한 제가 모르는 다른 이벤트가 있을까 싶어서요

5	비공개 손님 … 2018-02-02 18:55:46
	var tag = $('<img style=max-width:320px; src="E" onclock="console.log(\'a\');">'); $.each(tag[0].attributes, function(){ console.log(typeof this); }); 이렇게해도 오브젝트로 나와버리네요 껄껄..

6	비공개 손님 … 2018-02-02 18:59:14
	Node 오브젝트아닌가여? attributes["onclock"] 있나보시져 그거 지우고 toString 결과를 innerHTML 로 바꾸심 될듯한데요

7	비공개 손님 … 2018-02-02 19:00:22
	https://developer.mozilla.org/en-US/docs/Web/API/Node

8	비공개 손님 … 2018-02-02 19:19:48
	jquery 가능하면 구냥 $().off() 하면 이벤트 다 언바인드 되지 않나영?

10	비공개 손님 … 2018-02-02 21:55:04
	tag.parent.replaceChild(tag.clone(true), tag);

11	비공개 손님 … 2018-02-05 09:37:21
	답6 attributes에 src, onclock 이 포함되어있어요 제가 하고싶은건 this에 onclock(그 외 on이벤트(혹은 더 있을 제가 모르는 이벤트)) 의 type이 function 일 경우 제거 하고싶습니다. 답8 off는 태그에 이벤트 따로 붙였을경우 해제 되는것 같아요 답10 이해를 잘 못했어요

12	비공개 손님 … 2018-02-05 10:23:03
	if (typeof(eval(node.attributes["onclock"])) == "function") then...

13	비공개 손님 … 2018-02-05 16:37:24
	답12/ 해당 결과가 function이 아니고 object로 나와요

14	비공개 손님 … 2018-02-05 23:47:40
	https://stackoverflow.com/questions/5999998/how-can-i-check-if-a-javasclipt-variable-is-function-type 그 외에도 js 관련 레퍼런스는 MDN 문서 참고하세여

15	비공개 손님 … 2018-02-06 00:01:52
	잘 되는뎅 var tag = $('<img style=max-width:320px; src="E" onclock="console.log(\'a\');">'); $.each(tag[0].attributes, function(){ // ATTR Node object // https://developer.mozilla.org/en-US/docs/Web/API/Attr if (this.name === "onclock") { this.value = "" } });

16	비공개 손님 … 2018-02-06 09:04:35
	답15// this.name === "onclock" 이 부분을 name을 onclock으로 비교하고싶은게 아니고 this 의 type이 function 일 경우로 비교해서 제가 모를 함수같은것도 잡고싶은 그런것이에요

17	비공개 손님 … 2018-02-06 10:34:26
	Attr Node 는 Object 지 function 이 될 수 없습니당... 제 답변은 여기까지

18	비공개 손님 … 2018-02-06 10:36:49
	요거 보고 다 구현하는거 말곤 답없음 https://developer.mozilla.org/en-US/docs/Web/Events

19	비공개 손님 … 2018-02-06 10:53:39
	도움 감사합니다

20	비공개 손님 … 2018-02-08 01:27:31
	11/ 노드를 클론하면 노드 자체는 복사되는데, 원본 노드에 달린 이벤트 리스너까지 복사되진 않아요. 그래서 복사한 노드와 원본 노드를 교체하면 이벤트 리스너를 제거한 효과가 나타납니다.

21	비공개 손님 … 2018-02-08 09:04:36
	답20 저기 tag라는건 테스트로 만들려고 한게 아니고 진짜 tag라는 변수에 html tag내용을 string으로 받아와서 jquery로 노드를 만들기 때문에 parent라던지 기존 노드가 없어요 노드 만드는 시점에 on 이벤트 혹은 그외의 이벤트가 있다면 그걸 없애고 싶은겁니다

22	비공개 손님 … 2018-02-08 09:25:51
	애초에 html 소스가 있다면 jquery에 담기 전에 문자열 지우면 안될까요? htmlSourceString.replace(/on.+?=\s?('|")[^\1]+\1/gi, ""); 아님, jquery 작업 후에 답20 방식으로 한 번 더 돌리던가...

23	비공개 손님 … 2018-02-08 09:40:46
	답22/ 이벤트가 on으로 시작되는것 밖에 없다면 그게 맞는데요 혹시나 다른 이벤트(혹은 다른 함수가 선언 가능하다던지)가 있는지 의심스럽습니다. jquery 작업 후에 html 붙인 뒤라면 이미 onroad같은 함수가 실행된 뒤라서 의미없을거같습니다.

24	비공개 손님 … 2018-02-08 10:24:28
	MDN 링크에 있는 event attr 갯수만 봐도 이게 rule로 어떻게 할 숫자가 아니란게 보이는데 이쯤되면 '모든 이벤트 attr 을 제거(blacklisting)' 라는 요구사항을 '허용외의 attr은 전부 제거(whitelisting)' 로 바꾸는게 나아보이는데요...

25	비공개 손님 … 2018-02-08 10:28:42
	답24 그렇게 노선 돌려야할거같습니다..