Extra Form
PHP PHP 7.2
CMS Rhymix 2.0

안녕하세요.

 

기본 레이아웃을 보니


{$content|noescape}

 

로 되어있는것을 확인하였습니다. 검색해보니 

 

https://github.com/xpressengine/xe-core/issues/2301

 

템플릿 보안이라고 적혀있는데

 

적용하면 좋을지 궁금합니다.

 

감사합니다.

-----------

오히려 noescape는 미적용한다는 뜻인가보네요. 저는 우선 잘모르는 분야니 noescape를 넣어야겠습니다!!

  • profile

    xss 공격이라는 기법이 있는데 그 공격을 막기 위해서 기본적으로 템플릿에서 호출하는 변수에 escape 를 적용하는경우가 있습니다.(auto-escape를 사용할 때) 하지만 html 을 그대로 사용해야할 경우도 있어서 noescape 을 변수 뒤에 붙임으로써 해결을 하는 기능입니다.
    https://github.com/xpressengine/xe-core/pull/1267

    정독하시면 됩니다.

  • profile profile
    람보님 감사합니다
    천천히 정독하였습니다
    최근 기진곰님이 레이아웃 관리자페이지의 스크립트내용을 입력하는것은 권고하지 않는다고 한것인지 조금은 이해가 가는 내용이네요!
  • profile

    넣는다고 더 좋은 것도 아니고, 안 넣는다고 더 좋은 것도 아닙니다.
    필요한지 안 필요한지 판단해서 적절히 사용해야지요.
    판단할 수 없다면 아예 안 쓰는 편이 차라리 나을 수도 있고요.

    "물을 끓여서 마시는 것이 좋나요?"
    마시려는 물이 생수인가요, 수돗물인가요, 강물인가요, 바닷물인가요?

    설마 사이다를 끓여서 드시려는 것은 아니겠죠? ㅎㅎ