선택적 iframe 허용하기 미완성임 위험함 누가 도움을 정보
선택적 iframe 허용하기 미완성임 위험함 누가 도움을본문
제로보드xe 는 iframe를 선택적으로 허용할 수 있도록 얼마전에 패치를 하였습니다.
그누에서는 그 부분에 대해서 팁도 없고 xe 껄 빼껴 오는 것도 제 실력으로 어림도 없어서
어설프게 적용하였습니다만. 제가 봐도 이건 털리기 딱 쉬울 것 같습니다.
급해서 우선 common.lib.php 456줄 근처
$content = preg_replace($source, $target, $content);
$content = bad_tag_convert($content);
이 구문을
$content = preg_replace($source, $target, $content);
//악성테그 제외 사이트 오리왕자
$sub_site = "www.youtube.com|MovieFlvPlayer.nhn|blogfiles1.naver.net|videofarm.daum.net";
if (!eregi($sub_site, $content))
$content = bad_tag_convert($content);
조건문 하나 넣어서 $content 에 $sub_site 의 문구가 있다면 일단은 통과하는 식으로 만들어봤습니다.
일단은 잘 되고 있습니다. 회원들이 요구할 때 마다 하나씩 추가해 주기만 하면 되니까
어려움은 없습니다만...
제가 정규표현식에는 영... 잼병이라서 itrame 태그 사이에만 허용문구가 있다면 통과하는 식으로
만들면 어느정도 보안효과가 있을 것 같은데 위와 같은 식은 내용에만 있다면 무조건 통과하는 식이라
아는 넘이면 역이용 할수 있는 요지가 다분합니다.
정규표현식 좀 하시는 분이 trame 태그 사이에 문구만 검사하는 식으로 조금만 보완해 주면 괜찮을 것 같다는
생각도 듭니다만....
그런데 막상 정규표현식으로 itrame 태그 사이에 위 문구가 있다면 통과하는 식으로 해 준다고 해도 보안상 위험
이 없을지는 저도 잘 모릅니다.
고수분 중 조금만 손좀 봐주시기를 꼭 부탁드립니다. 꾸벅
ps. 저거 쓰시면 안됩니다. 보안에 허점이 있습니다. 고수분이 보완해 주신 다음 쓰세요.
그누에서는 그 부분에 대해서 팁도 없고 xe 껄 빼껴 오는 것도 제 실력으로 어림도 없어서
어설프게 적용하였습니다만. 제가 봐도 이건 털리기 딱 쉬울 것 같습니다.
급해서 우선 common.lib.php 456줄 근처
$content = preg_replace($source, $target, $content);
$content = bad_tag_convert($content);
이 구문을
$content = preg_replace($source, $target, $content);
//악성테그 제외 사이트 오리왕자
$sub_site = "www.youtube.com|MovieFlvPlayer.nhn|blogfiles1.naver.net|videofarm.daum.net";
if (!eregi($sub_site, $content))
$content = bad_tag_convert($content);
조건문 하나 넣어서 $content 에 $sub_site 의 문구가 있다면 일단은 통과하는 식으로 만들어봤습니다.
일단은 잘 되고 있습니다. 회원들이 요구할 때 마다 하나씩 추가해 주기만 하면 되니까
어려움은 없습니다만...
제가 정규표현식에는 영... 잼병이라서 itrame 태그 사이에만 허용문구가 있다면 통과하는 식으로
만들면 어느정도 보안효과가 있을 것 같은데 위와 같은 식은 내용에만 있다면 무조건 통과하는 식이라
아는 넘이면 역이용 할수 있는 요지가 다분합니다.
정규표현식 좀 하시는 분이 trame 태그 사이에 문구만 검사하는 식으로 조금만 보완해 주면 괜찮을 것 같다는
생각도 듭니다만....
그런데 막상 정규표현식으로 itrame 태그 사이에 위 문구가 있다면 통과하는 식으로 해 준다고 해도 보안상 위험
이 없을지는 저도 잘 모릅니다.
고수분 중 조금만 손좀 봐주시기를 꼭 부탁드립니다. 꾸벅
ps. 저거 쓰시면 안됩니다. 보안에 허점이 있습니다. 고수분이 보완해 주신 다음 쓰세요.
추천
0
0
댓글 1개
그러게요. iframe 태그이면서 해당 도메인(문자열)일 때만 통과하도록 해야 할 듯...