타운광장토픽게시판

HTML Purifier 는 오픈 소스로서 많은 HTML Filtering Solutions 중에 악의적인 스크립트(XSS)를 잘 방어해 주기로 유명합니다. 그래서 XE 에서도 보안을 위해 사용하고 있는 것 같은데요. 얼마전에 v4.10.0 으로 메이저 업데이트가 있었습니다. 이번 버전에서는 드디어 PHP 5.3 지원을 중단하고 7.2 를 지원합니다. 이전 버전에서 발견된 버그들도 고쳐졌기 때문에 (XE 에는 오래된 v4.4.0 를 사용하고 있어서) 제 생각에는 반드시 업데이트를 해주어야 하지 않을까 합니다. 다운은 아래의 링크를 통해서 가능하고, XE 에 설치를 위해서는 아래의 링크에서 다운받은 파일의 압축을 해제한 후에, FTP 를 통해서 "library 폴더만", xe/classes/security/htmlpurifier/library 에 그대로 업로드하여 덮어 씌워주면 됩니다. 현재 XE 의 최신 버전인 1.9.6 에서 이상없이 작동합니다...만 이건 어디까지나 제 의견이고 ^^ 혹 예상치 못한 문제가 발생해도 죄송하지만 저는 책임을 질 수 없습니다. 이점 참고해 주세요. ^^ (다시 말씀드리지만, PHP 버전 7.x 사용자들만 업데이트 하셔야 합니다.)

 

•바로가기: http://htmlpurifier.org

 

  • ?

    5.6~최신까지 지원하는거 같습니다

  • ? profile

    ㅋㅋ 5.6 이 있었네요. ^^;; 왜 제가 5.3 이 마지막 버전이라고 생각했을까요.ㅠ 라라펠님 말씀대로 5.6부터 최신입니다. ^^

  • profile
    라이믹스에도 해당되는건가요? ^^;;;
  • profile profile
    라이믹스는 최신까지는 아니지만 이미 몇번의 패치는 한걸로 알고있고.. 곧 또한번 패치할 수도 있어요

    그리고 엑스이와 구조도 틀립니다..
  • profile

    그동안 필터링되어 없어지던 몇몇 속성을 그대로 남기는 등의 자잘한 수정이 대부분입니다. 반드시 필터링되어야 할 태그나 속성이 그대로 남는 문제는 보이지 않으니, 예전 버전을 사용하시더라도 보안상의 문제는 없을 듯 합니다. 게다가 최신 버전은 PHP 5.3을 지원하지 않으니 XE에 정식으로 포함하여 배포하기는 힘들겠네요. (PHP 최소 버전을 5.6으로 변경하려던 XE 1.10이 취소되는 바람에... ㅜㅜ)

     

    라이믹스는 적당한 시기에 업데이트하겠습니다. vendor 폴더 내의 라이브러리들은 composer로 관리되므로 임의로 교체하시면 안됩니다.

  • profile profile

    댓글 달아주셔서 감사합니다. 단순히 v4.10.0 에서 PHP 5.3 지원 중단과 PHP 7.2 지원을 보고 메이저 업데이트라 생각했었습니다... 그나저나 현 XE 에 있는 v4.4.0 은 나온지가 2012-1-18 인 것 같던데,, 2018-2-22 현 버전까지 그동안 자잘한 수정만 됐다는게 놀랍네요... 자세한 설명 감사합니다!