https://github.com/xpressengine/xe-core/commit/558768b9ad76c75260db47ab2ff89ebfdabe2ae4
이번 보안패치의 커밋 내용을 보면...
onclick="window.open(this.href);return false;"
-->
target="_blank" rel="noopener"
로 바뀐게 굉장히 많습니다. 이런 패치가 있을때 기본적인 스킨의 변경파일을 제공하고 나머지는 어떻게 하라는 설명이 없어 코드를 잘 모르는 저희 같은 사용자들은 뭘 어찌 해야할지 알 수 가 없네요.
기본 제공하는 내장 스킨에서 보안때문에 저렇게 변경된 것이라면 똑같은 모듈의 사용 스킨도 모두 똑같이 변경해야 하는지 변경대상의 범위가 도대체 무엇 까지인지 알 수 가 없네요.
보안상 어떤 문제가 생기는지도 궁금하구요.
네 저렇게 바꾸시면되요.
새창 띄우는 액션을 굳이 window.open함수를 사용하게 되면 내부적으로 해킹을 할 수 있는 보안취약점이 존재합니다.