'사용금지 태그' 기능의 허점
'사용금지 태그' 기능에서 <script>태그를 차단하여도 javascript를 실행할 수 있는 허점을 발견하였습니다.
소스를 보니 <script>를 <script-x> 태그로 변환하여 스크립트의 실행을 방지하도록 되어있으나
<img src="javascript:window.onload=window.open('aa.htm');">
와 같은 자바스크립트의 차단은 불가능합니다.
<a href="javascript:window.onload=window.open('aa.htm');">aaa</a>
이런 태그도 먹히더군요.
이런 허점을 보안한 패치를 해주시기 바랍니다.
소스를 보니 <script>를 <script-x> 태그로 변환하여 스크립트의 실행을 방지하도록 되어있으나
<img src="javascript:window.onload=window.open('aa.htm');">
와 같은 자바스크립트의 차단은 불가능합니다.
<a href="javascript:window.onload=window.open('aa.htm');">aaa</a>
이런 태그도 먹히더군요.
이런 허점을 보안한 패치를 해주시기 바랍니다.
|
댓글을 작성하시려면 로그인이 필요합니다.
댓글 3개
달빛온도님께서 알려주셨습니다.
해결되었군요 ^^;
이글에 적힌 내용은 관리자님께서 스킨으로 해결하시라고 하네요 ㅠㅠ