htmlpurifier 적용하고, 보안설정 적당히 해주면 웬만한 방어는 다 되긴 하겠지만...

 

요즘 에디터들로

 

이미지나 동영상 등 미디어는 플러그인으로 문제없이 삽입가능하게 한다면 

 

굳이 html 허용 안해줘도 상관없을거 같은데

 

어떻게 생각하시는지.

  • profile
    굳이 안주셔도 될듯 합니다....^^
  • profile

    애초에 동영상과 이미지가 html 태그로 들어가는데요...?

  • profile ?
    html 소스 직접수정 말하는거에요
  • profile

    보안 때문에 막을 필요는 없습니다. htmlpurifier 어마무시합니다.

     

    보안과 무관하게 사이트 운영정책상 html을 허용하지 않고 싶다면 그건 자유입니다.

    textarea에 이미지 본문 자동 삽입 애드온을 사용한다거나...

     

    단, 이미지나 동영상 삽입을 위해 임의의 문법을 만들어 쓸 경우

    그걸 실제 태그로 변환하는 과정에서 보안 문제가 발생할 가능성이

    그냥 html 허용하고 htmlpurifier 돌리는 것보다 수십 배 높다고 생각합니다.

  • profile ?
    그런가유...

    ck summernote froala 등 이미지,영상삽입기능 좀만 수정하면 문제 없을거같아서..ㅎ

    요즘은 부라우저 단에서 공격막아주니 일단 냅둬야겟네여..
  • ? profile
    브라우저단에서 막아주기는 뭘 막아주나요 ㅋㅋ
    보안 관련해서 브라우저는 믿을 게 못됩니다. 개발자도구로 뭐든지 조작할 수 있는데요.
  • profile ?
    x-content-type-options:nosniff
    x-frame-options:SAMEORIGIN
    x-xss-protection:1; mode=block
    referrer-policy:strict-origin-when-cross-origin

    설정해둿는데 다 필요없나요?
  • ? profile
    어느 정도 도움은 되지만 안심할 수 있을 정도는 아니예요.
    그건 그거대로 설정해서 쓰시고, XSS는 htmlpurifier로 또 막으셔야 해요.
  • ?

    htmlpurifier  뭔가 싶기도 하고..공부할려고

     

    구글에서  htmlpurifier  사용법 친뒤..

    최상단의 게시물을 클릭하니깐..

     

    XETOWN의 "그분"이.....

     

    https://gist.github.com/kijin/5829736

     

    역시 대단하십니다.

  • ? ?
    저도 htmlpurifier 검색하다보니 "그분"이...

    https://gist.github.com/kijin/5829736