proc 로 시작되는 act의 모든 post 요청을 별도의 명시적 허용없이 전부 막아버려면, 확실하게 처리가 가능하겠지만, 기존에 제작한 3rd party 모듈들과 상당한 충돌이 일어날것 같아요. 코노리님이 이야기 해 주신것처럼 당장 코어의 다운로드 부분과 알림센터에서 부터 문제가 발생하고 있죠.
core 의 모든 proc에 checkCSRF 함수를 도배하여 POST를 체크하는 방법으로도 가능하지 않을까요? 호환성 면에서는 더 나을것 같아서요.
checkCSRF 함수는 리퍼러가 같은 도메인 소속인지 체크하는 기능입니다.
이번처럼 게시판에서 링크를 걸어버리면 리퍼러가 같은 도메인으로 들어가기 때문에
checkCSRF 함수로는 막을 수 없을 것 같은데요...