- Servlet Filter vs Interceptor Filter2024년 11월 25일
- Ibiza
- 작성자
- 2024.11.25.:13
1. Servlet Filter
- Servlet Filter는 servlet container에서 실행, web.xml이나 java annotation을 통해 특정 패턴에 대해 Filter 등록 가능
- Servlet filter는 주로 공통 request 및 response의 전처리, 후처리 공통 보안작업(xss 필터링, 인코딩, 인증, 권한 검증)등에 사용
- 사용예시: 모든 HTML 응답에서 <와 >를 특정 문자로 치환해 XSS를 방지하거나, 인증되지 않은 사용자 요청을 차단할 때 사용
2. Interceptor Filter
- spring framework의 MVC와 같은 Controller 계층에 사용, spring에서는 HandlerInterceptor를 통해 구현되며, dispatcher servlet에 의해 작동
- 특정 controller method가 호출되기 전후에 추가적인 로직을 실행
- interceptor filter는 주로 애플리케이션의 비즈니스 로직 실행 전후에 권한 확인, 로깅, 데이터 검증 등 처리하는 데 유용
- 사용 예시: 사용자가 접근한 URL에 대해 세션이나 사용자 권한을 확인하거나, 요청의 파라미터를 검증하고 수정할 때 사용
특성 Servlet Filter Interceptor Filter 위치 servlet container에서 실행 Spring MVC 등 framework controller 계층에서 실행 작동범위 요청(request) 및 응답(response) 전반 controller method 호출 전후 중요용도 전역 보안 (XSS 필터링, 인코딩, 인증, 권한검증 등) 비즈니스 로직 전후의 인증, 로깅, 데이터 검증 설정방법 web.xml 설정 또는 annotation Spring의 HandlerInterceptor 구현 XSS filter와 같은 전역 보안 처리가 필요하다면 servlet filter를 사용하는 것이 적합하고, 특정 controller method 호출 전후로 권한 확인 같은 로직을 추가하고 싶다면 interceptor filter를 사용하는 것이 적합
'Security > 취약점분석&모의해킹' 카테고리의 다른 글
SW 분석·설계단계 보안 아키텍처 - 웹 서비스 요청 및 결과 검증 (0) 2024.12.10 SW 분석·설계단계 보안 아키텍처 - 시스템 자원접근 및 명령어 수행 입력값 검증 (0) 2024.12.10 SW 분석·설계단계 보안 아키텍처 - 디렉터리 서비스(LDAP) 조회 및 결과 검증 (0) 2024.12.10 SW 분석·설계단계 보안 아키텍처 - XML 조회 및 결과 검증 (0) 2024.12.09 SW 분석·설계단계 보안 아키텍처 - DBMS 조회 및 결과 검증 (0) 2024.12.09 다음글이전글이전 글이 없습니다.댓글
스킨 업데이트 안내
현재 이용하고 계신 스킨의 버전보다 더 높은 최신 버전이 감지 되었습니다. 최신버전 스킨 파일을 다운로드 받을 수 있는 페이지로 이동하시겠습니까?
("아니오" 를 선택할 시 30일 동안 최신 버전이 감지되어도 모달 창이 표시되지 않습니다.)