| PHP | PHP 7.4 |
|---|---|
| CMS | Rhymix 2.x |
라이믹스에서 스케치북게시판 사용중입니다.
서명부분을 자기소개란으로 만들어 사용하고있는데요.
HTML을 허용해서 인벤의 인장기능처럼 활용하고싶은데 안되는거같습니다.
HTML로 쓰는거까진 했는데 적용이 안됩니다.
<div>
<a href=#none id="show" onclick="if(hide.style.display=='none') {hide.style.display='';show.innerText='▲접기'} else {hide.style.display='none';show.innerText='▶펼치기'}">▶펼치기</a>
<div id="hide" style="display: none">
펼치면 보이는 내용을 적어줍니다. <br />
아무 내용이나 적어주세요. <br />
</div>
</div>
이런 코드들을 활용하고싶은데 어떻게 해야할까요?
제가 실수로 미쳐적지못했었습니다. 스케치북 게시판을 사용중인데요. 게시글을 올릴경우 자기소개를 보여주게 설정할수있어서 이부분을 활용해볼려고했었습니다.. 저부분을 HTML코드로 활용한다면 깔끔해질거같아서요.
처음에 보여주신 에디터에 각자 회원이 넣은 문구가 서명을 출력하도록 한 (게시판 등등)에서 출력되는 것입니다.
따라서 회원정보에서 열리는 에디터는 서명을 db에 넣어주기 위한 편집툴입니다.
거기에 지금 생각하시는 스크립트를 넣는다고 생각하신 것 자체가 출발이 잘못되었구요.
스케치북에서 출력되는 서명부분에 뭔가 다른걸 보여주거나 커스텀을 하신다면 스케치북 스킨의 지금 보이는 곳을 담당하는 파일을 수정하셔야 합니다.
어떤 기능을 구현할지는 그건 각자의 코드 작성에 따라 보여지는건 가능하구요.
스케치북에서 서명이 출력되고 게시글이 보이는 곳을 담당하는 파일은 _read.html 입니다.
사용자가 컨텐츠를 입력하는 에디터에 스크립트를 허용하면 사이트는 금방 엉망이 될겁니다. 에디터의 역할이 뭔지 좀더 샹각해 보셔야 할 것이구요.
서명의 에디터에 왜 저코드를 넣을 수 있다고 생각하시는지 뭐가 잘못된건지 이해를 하셔야 할겁니다.
설령 에디터에서 스크립트를 허용한다고 해도 지금 수정하신 곳은 회원이 입력해서 만들어진 서명 결과물 입니다. 모든 회원이 저 스크립트를 에디터에 넣을 수 없습니다.
혹시 위젯페이지에서 에디터로 직접 입력하여 페이지를 꾸밀때라면 궁금해 하시는 부분이 이해가 됩니다만 회원이나 빙문자가 사용하는 에디터에서는 스크립트는 절대 하용이 안되고 그래서도 안됩니다.
따라서 모든 회원에게 저 코드를 전달해서 에디터에 넣어달라고 해도 불가능합니다.
그게 안된다고 지금 에디터를 통해 필터링까지 거친 결과물을 수정 하신들 저건 다시 회원이 서명 수정을 하면 초기화 됩니다.
지금 원하시는 것을 하시려면 이미지는 별도로 업로드를 하신디쳐도 나머지 코드는 직접 스킨에라도 작성 하셔야 합니다.
입력된 서명을 불러와 보여주는 스킨이요.
지금 원하는 것이 단순히 서명 자체가 없는 것 처럼 보이다가 클릭시 보이는 거라면 업로드도 고민할 필요없이(서명 에디터에서 업로드 했을 것이므로) 스케치북 스킨의 서명 출력하는 html에 스크립트 를 넣어주고 서명부분을 스크립트에 의해 열리고 닫히도록 감싸서 맞춰주면 됩니다.
개별회원이 할일이 아니라 관리자가 권한을 가지고 수정할 수 있는 곳에서 해야 하는 것이죠.
다음과 같은 항목을 생각해보셔야 합니다.
1. 유저기 입력할 수 있는 항목
2. 관리자가 수정하는 항목.
회원들의 서명의 경우 1번과 2번이 모두 해당되는 항목입니다.
그런데 1번이 해당이 된다면 이는 보안 취약점에도 많은 신경을 써야 합니다.
유저가 특정 스크립트를 마음대로 넣어 조작하는 것을 허용하게 된다면 모든 자바스크립트 스크립트가 실행되도록 할 수 있습니다. 그러면 그 부분은 관리자 계정의 탈취하는 스크립트를 실행할 수 있는 여부와도 연관됩니다.
라아믹스의 서명의 역할은 그냥 본인을 설명해주는 내용을 적도록 하고 있으나 이 부분에 자바스크립트를 막 넣어 다른 회원의 비밀번호 정보라던지 관리자 권한을 탈취하는 상황이 발생된다면 아주 곤란하게 되겠지요?
그래서 보통은 자바스크립트 형태로 이루어진 펼치기 기능과 같은 작동은 일반 회원에게는 막혀져 있는게 정상입니다.
허나 인벤에서는 이러한 일부 스크립트를 허용해주고 유저들이 활용하게 해주고 있다만 라이믹스는 그렇게 해주지 않고 있지요.
이 차이점이 뭐냐면 인벤은 해당기능을 염두하여 제작하여 보안취약점에 대한 모든 부분을 대응하고 있습니다. 그리고 인벤에서 쓰이는 프로그램이 외부에 코드를 제공해주는 이런 CMS가 아닌거죠. 즉 자체 솔루션으로 만들기 위해 내부 보안코드를 직접 적용하고 있다는 뜻이 됩니다.
반면 라이믹스는 다릅니다. 라이믹스로 만들어지는 사이트는 현재도 계속 만들어져있고 유명 사이트들도 제법 많은 수가 라이믹스를 사용하게 됩니다.
자잘하게 넘어간다면 XE포함 수만개의 사이트가 될것으로 보고 있는데요. 해당 유저들이 아무런 설정없이 막 쓰더라도 보안취약점이 생기지 않도록 안정적으로 운영하는 것이 중요한게 CMS입니다.
즉 인벤은 해당 기능을 자체적으로 허용 비용스크립트를 오직 인벤을 위해서 사용되고 있지만 라이믹스는 아니라는 점입니다.
정 필요한 기능이라면 서명기능을 따로 커스텀(혹은 제작의뢰) 하셔서 사용하도록 하시는 것이 좋습니다.
지금 본문에 코드가 어떤 상관관계가 있는건가요??
본문에 적은 코드는 누가 어디에 넣었나요?