타운광장토픽게시판

1459870313PHP-logo.svg.png

 

  • profile

  • profile

    헐 뭥미 ㅋㅋㅋㅋ

     

    XE와 라이믹스에서 필터링에 사용하는 HTML Purifier라는 라이브러리가 원래 class는 모두 허용합니다.

    http://htmlpurifier.org/live/configdoc/plain.html#Attr.AllowedClasses

     

    잘못 사용하면 디자인이 이상하게 보일 수는 있어도 보안에는 문제가 없다는 논리인 것 같은데요...

    레이아웃이나 스킨에서 정의한 클래스를 빌려쓰면 정말 이상하게 만들 수도 있긴 하죠.

  • profile profile
    클래스가 다 허용되는군요 img 에서는 전부 삭제되고 p에서만 남아있길래 뭔가 잘못된줄 알았어요
  • profile profile

    이런 문제 때문에 개인적으로 사이트 디자인의 주요 구성요소에는 class보다 id를 사용하는 것을 선호합니다. 요즘은 웬만하면 class를 쓰라고 떠들어대지만, class는 잘못 쓰기가 너무 쉬워서요 ㅋㅋ

  • profile
    PHP 로고 엄청 크게뜨길래 놀랏네요
    편집기에서 제거하고 댓글씁니다.
  • ?
    글이 안 보여서 깜짝 놀랐네요ㅋㅋㅋ
  • profile
    어차피 class 뿐만 아니라 style 속성으로도 집어넣을 수 있습니다.

    이런 문제를 막기 위해서는 html 편집 자체를 허용하지 않으면 됩니다.
    (그래서 네이버 에디터에는 html 편집 기능이 없다죠.)
  • profile profile
    HTML 에디터 기능을 없애는것도 임시방편일 뿐입니다. 붙여넣기를 허용하는 경우 다른 곳에서 편집한 뒤 붙여넣으면 그만이기 때문이죠. 그것도 안된다면 아예 전송값 자체를 바꿔 버려도 되고요.
  • profile profile
    아하!

    흠... 그럼 아예 막을 수 있는 방법은 마크다운 뿐이겠군요.
  • profile
    회원이 사이트를 긁어서 붙이면 이런 현상이 나오더군요. 자유도가 높은것도 참.. 고민이네요