종퀴

타임리프에도 변경사항이 있었다. 가장 대표적인 변화라면, 타임리프에서 session 객체와 request 객체에 직접 접근하던 것을 차단한 것이다. 예를 들어 spring boot 2.2.12에서는 아래와 같은 타임리프 구성이 가능했다. th:with="currentUrl=(${#httpServletRequest.requestURI + '?' + #strings.defaultString(#httpServletRequest.queryString, '')})"> 이제 새로운 버전에서는 #httpServletRequest , session 등, 서블릿 객체에 위와같은 방식으로 접근하는 것이 모두 막혔다. 삭제한 이유는 문서에 명시하지는 않았지만, github 이슈에서 아래와 같이 보안 이슈라고 언급하고 있다...

고객사에서 웹로직에서 제우스로 전환하는데 아래와 같은 상황에 대한 버그 리포트가 있었다. filter에서 request.getParameter()를 호출. filter는 /* 로 매핑이 되어있어 무조건 타게 되어 있음. servlet에서는 request.getInputStream()을 호출. 이런 상황에서 request.getInputStream()에서 read()를 하는 경우 EOF가 떨어진다는 것이었다. 왜 이런 상황이 벌어졌는지 알려면 서블릿 스펙과 서블릿에서 요청을 읽어들이는 방법에 대해 알아야 한다. 크게 3가지 방법이 쓰인다. HttpServletRequest#getInputStream() HttpServletRequest#getReader() HttpServletRequest#getParam..