커뮤니티토픽게시판

iframe이 보안에 문제가 된다는건 옛날처럼 프레임 건너끼리

서로 맘대로 데이터를 가져오거나 조작이 가능했을때 얘기가

아닌가 싶어요.

요즘은 iframe으로 열어도 도메인 틀리면 서로 아무것도

못하던데 말이죠. 옛날 생각하고서 iframe 썼다가 완전 분리되어

있어서 깜짝 놀랐네요.

프레임간 통신하려면 일일이 이벤트 날려서 통신해야 해서... 

그외 문제가 되는거라면 iframe 안에서 플래쉬 썼을때인데..

이것도 애초에 모바일에선 아무 문제도 안되고.. 데스크탑에서도

어지간하면 플래쉬는 기본으로 off 잖아요. 딱 문제 되는거라면

아직도 붙잡고 있는 소수의 ie11 유저정도겠네요...

iframe이 허용될때 편리해지는거 생각하면 게시판에서

쓸 수 있는 태그중에 iframe을 허용해줘도 괜찮을 것 같은데 말이죠..

iframe 안쪽에서 플래쉬가 실행되는걸 감지할 방법같은건 없을까요?

그것만 가능하면 완벽할 것 같은데...

 

해외에선 컨텐츠를 임베딩하려고 할때 보통 blockquote태그 + 자바스크립트

조합을 쓰더라구요. imgur도 그렇고 reddit도 그렇고..

그거보고서 보안 생각하면 javascript 실행을 저렇게 완전 오픈시켜버리는게

더 위험하지 않나? 싶던데 말이죠... 

페이지 안에서 자바스크립트가 실행되면 할 수 있는게 꽤 많잖아요.

저 HTML코드 따가서 진짜 쓸 수 있는데가 있기는 싶을까.. 한데...

왜 iframe을 안쓰고 blockquote를 쓰는걸까요... 더 좋은 방법은 과연 없는걸까요?

  • profile

    XE에서는 이미 유튜브, 비메오 등의 iframe이 광범위하게 허용되고 있습니다. 모든 iframe을 일괄적으로 허용함으로써 얻을 수 있는 유익이 무엇일까요? 기껏해야 남의 콘텐츠를 불펌하거나, 작은 사이트를 큰 사이트에 iframe으로 연결하여 디도스 공격을 유발할 뿐일 것 같은데요.

    해외 사이트에서 허용하는 스크립트는 아마 서버단에서 꼼꼼하게 필터링되고 있을 겁니다. 안 그랬으면 벌써 여러 번 털렸겠죠 ㅎㅎ 그리고 imgur와 reddit은 태생이 같기 때문에 (reddit에 이미지 업로드 기능이 없던 시절, reddit 유저가 reddit과 연동하려고 만든 것이 imgur입니다) 시스템이 비슷할 뿐, 두 사이트의 특성만을 보고 일반화시키기는 어렵습니다. 초창기부터 Markdown을 사용하는 등, reddit은 글쓰기 방식이 독특하지요.


서버에 요청 중입니다. 잠시만 기다려 주십시오...