아이디어: https://github.com/rhymix/rhymix/issues/230
Self-XSS를 방지하기 위해 콘솔창에 안내를 합니다.
애드온으로 나오면 좋을것 같아서 찾아보았는데, 없어서 만들었습니다
라이믹스에서 기본 애드온같이 넣어주면 좋을거 같기도 합니다
-
좋은 자료 배포해주셔서 감사합니다 ^^! -
참고로 라이믹스는 이미 쿠키에 httponly를 걸어두었기에 document.cookie로 세션쿠키를 탈취할수 없습니다.또한 세션쿠키 탈취시에도 sesskey1(http) sesskey2(https 적용시) 둘다 확인되지 않으면 해킹으로 간주 자동 로그아웃됩니다.
즉 굳이 기본 애드온으로 적용할 필요성은 없어 보입니다. -
네, 일단 http only 옵션으로 쿠키탈취는 막을 수 있는데, 혹시 모르는 스크립트를 활용한 xss 사고가 일어날 수 있기 때문에 만들었습니다
Xss가 쿠키탈취만을 위한 기능(?)은 아니지 않나요? -
당연히 쿠키 탈취만 해당하는건 아니죠. 다만 캡차만 적용해둬도 개발자 도구를 사용해서 할수있는일은 매우 적어집니다.
혹시나 노파심에 댓글달자면 자료 자체가 쓸모없다는 뜻은 절대 아닙니다.
다만 모든 사이트에서 필요로 하는 내용은 아니므로 기본 자료까지 될 필요성은 낮다는 의미입니다. -
네. 저기 깃허브에서도 코어에서 적용할 필요는 없고, 애드온에서 지원해도 충분하다고 하셔서 이해는 하고 있습니다
다만 세월이 좀 지난 글이라 혹시나 해서 언급만 해본 정도입니다
신경쓰지 않으셔도 됩니다 ㅎㅎ