-
헐 뭥미 ㅋㅋㅋㅋ
XE와 라이믹스에서 필터링에 사용하는 HTML Purifier라는 라이브러리가 원래 class는 모두 허용합니다.
http://htmlpurifier.org/live/configdoc/plain.html#Attr.AllowedClasses
잘못 사용하면 디자인이 이상하게 보일 수는 있어도 보안에는 문제가 없다는 논리인 것 같은데요...
레이아웃이나 스킨에서 정의한 클래스를 빌려쓰면 정말 이상하게 만들 수도 있긴 하죠.
-
이런 문제 때문에 개인적으로 사이트 디자인의 주요 구성요소에는 class보다 id를 사용하는 것을 선호합니다. 요즘은 웬만하면 class를 쓰라고 떠들어대지만, class는 잘못 쓰기가 너무 쉬워서요 ㅋㅋ
-
?
글이 안 보여서 깜짝 놀랐네요ㅋㅋㅋ
-
어차피 class 뿐만 아니라 style 속성으로도 집어넣을 수 있습니다.
이런 문제를 막기 위해서는 html 편집 자체를 허용하지 않으면 됩니다.
(그래서 네이버 에디터에는 html 편집 기능이 없다죠.) -
HTML 에디터 기능을 없애는것도 임시방편일 뿐입니다. 붙여넣기를 허용하는 경우 다른 곳에서 편집한 뒤 붙여넣으면 그만이기 때문이죠. 그것도 안된다면 아예 전송값 자체를 바꿔 버려도 되고요.