다들 10월 2일에 배포가 예정된 XE 1.11.0 업데이트 소식, 읽어 보셨나요? (XE 1.11.0 업데이트 정보 보기)
읽어보니 레이아웃과 스킨에 관련된거라 벌써부터 조금 긴장 또는 걱정되는 부분이 있네요.
아무래도 저 업데이트 후에 뭔가 문제가 많이 생길듯 한데...
왠지 10월 2일 후에 이 곳 XETown 이 더 활발해지지 않을까 합니다. 좋은거겠죠? ^^
-
?
escape 문법은 라이믹스와 같긴 한데, escape 기본 적용 상태로 변경하는건 다르군요.. 정착이 되면 좋긴 할테지만.. 혼란이 있을 것 같긴 합니다.
-
Lv30 
설정에 적용 안 할 수 있는 옵션이 제공될지는 모르겠지만,, 보안과 관련된 거라고 하니 적용 안 할 수도 없을 것 같아요. -
Lv30 당장 적용안함이 큰일이 나는 것은 아니니 우선 저 기능을 적용했다가 문제가 생긴다면 적용안함으로 하고 고칠 수 있는 시간을 가지면 될 것 같아서요. -
Lv30
그러게요. 천천히 그리고 꼼꼼히 살피면서 업데이트를 하면 좋을 것 같아요. ^^ -
Lv30 ?업그레이드를 하는 사용자는 큰 영향이 없는 것 같습니다만, 처음 설치하는 분들은 기본 값을 escape 로 하는 것 같습니다. 그리고, 설정 변경시에 관리자 페이지에서 조정하는 것이 아니라 코드를 수정하라고 안내하고 있어서 웹 UI 는 따로 없는 것으로 이해했습니다. -
?
자세히는 모르겠지만... 예를 들어서 필터링을 하지 않는 상태에서 htmlspecialchars_decode 코드가 스킨이나 위젯에서 적용 되는 경우 Reflected XSS 공격 취약성이 존재한다고 들었습니다. 기본적으로 필터링 상태로 쓰는게 좋을 것 같습니다.