게시판에서 확장변수 ( textarea 형식 ) 를 하나 생성해서 위젯코드를 집어 넣어봤습니다.
게시판 읽기 화면에서는 위젯 소스 그대로가 표시되는데 혹시 입력된 위젯소스가 실행되게끔 하려면 방법이 없을까요?
-
해당부분을 실행하게 냅두면, xss보안의 문제로 사이트 해킹및 사이트 사용에 큰 문제를 초래하게 됩니다. 안됩니다. -
?
람보님
https://xe1.xpressengine.com/index.php?mid=tip&search_target=title_content&search_keyword=%ED%99%95%EC%9E%A5%EB%B3%80%EC%88%98+html&document_srl=19233419
팁을 적용 해보니 문제가 해결 ( 확장변수에서 위젯코드가 정상적으로 표시가 됨 )이 되긴 한데요.
혹 보안이 문제가 될런지 궁금합니다. -
?
해당 부분을 적용하시게 되면, XSS공격에 취약점을 가지게 됩니다.
자바스크립트로 다른 주소로 리디렉트 시켜, 사이트의 관리자 권한을 얻게 한다던가 하는 취약점에 노출이 됩니다. 해당 부분은 수정하지 않는것이 좋습니다. -
?
혹시 해당 확장변수 입력권한이 관리자만 입력할 수 있고 일반 사용자는 결과화면만 확인 할 수 있는 경우도 말씀하신 보안에 취약해지는 문제점이 있을까요?
보안에 관해서는 전혀 지식이 없어 질문이 적합한지 잘 모르겠습니다. ^^;; -
?
현재당장은 막혀있다 생각하실지라도 그 확장변수라는 인수는 결국은 크롬의 기능으로 input을 생성하고 정보를 줘도 무방하기 때문에 보안취약점이 해결되지는 않습니다. 반드시 막아야 합니다.
-
?
하나 해결하니 또다른 문제점이 있군요.
답변 감사합니다. ^^