고수님들께 글작성시 iframe에 안전한지 여쭤볼게요.. 정보
고수님들께 글작성시 iframe에 안전한지 여쭤볼게요..
본문
그누보드는 html 글작성에 요즘 유투브에서 주로 사용하는 iframe방식을 보안상에 이유로 막아놨는데요.
이걸 쓰려고 곰곰히 생각해보다 이런식은 혹시 보안상에 안전한지 고수님들께서 좀 봐주셨으면 합니다.
iframe코드가
<iframe width="640" height="360" src="http://www.youtube.com/embed/3MV1iwUVzJ0?feature=player_embedded" frameborder="0" allowfullscreen></iframe>
이럴경우에.. 동영상 아이디인 "3MV1iwUVzJ0?" 부분만 따로 입력을 받을수 있도록 여분필드를 활용해서 아래와 같이 만들어주고요.
write.skin.php
<input type=text id='wr_1' name='wr_1' maxlength=20 value='<?=($write[wr_1])?>'>
view.skin.php 에서
컨텐츠 보여주는 부분에
<iframe width="640" height="360" src="http://www.youtube.com/embed/<?=$view[wr_1]?>feature=player_embedded" frameborder="0" allowfullscreen></iframe>
이런식으로 하면 보안상에 문제가 생길수 있을까요?
가능하다면 input 테그가 위에 맞는지도 좀 봐주세요..^^;
이걸 쓰려고 곰곰히 생각해보다 이런식은 혹시 보안상에 안전한지 고수님들께서 좀 봐주셨으면 합니다.
iframe코드가
<iframe width="640" height="360" src="http://www.youtube.com/embed/3MV1iwUVzJ0?feature=player_embedded" frameborder="0" allowfullscreen></iframe>
이럴경우에.. 동영상 아이디인 "3MV1iwUVzJ0?" 부분만 따로 입력을 받을수 있도록 여분필드를 활용해서 아래와 같이 만들어주고요.
write.skin.php
<input type=text id='wr_1' name='wr_1' maxlength=20 value='<?=($write[wr_1])?>'>
view.skin.php 에서
컨텐츠 보여주는 부분에
<iframe width="640" height="360" src="http://www.youtube.com/embed/<?=$view[wr_1]?>feature=player_embedded" frameborder="0" allowfullscreen></iframe>
이런식으로 하면 보안상에 문제가 생길수 있을까요?
가능하다면 input 테그가 위에 맞는지도 좀 봐주세요..^^;
댓글 전체
쓰기시 iframe src=".. 이후에 뭔가를 추가해서 관리자가 접근(실행)시 관리 권한 탈취(?) 등에 대한 문제로
보안상 iframe 등의 소스를 <iframe src="" 형태로 변경 출력 하는 흐름이니
여분 사용한다고 해도 결과적으로 관리자가 봤을때 뭐가 처리 되느냐 인 것이 문제로 예상됩니다.
현재 그누 기본스킨이 내용란에서 embed(글 게시가 안되는게 아니라 관리자 권한에서 확인 불가)를 관리자 상태에서 못보는 것에 중점을 두시면 쉬울듯
★ 관리자 아이디는 내용란의 iframe, embed 등 모두 실행 불가하게... 조건 처리 참고로 관련 정보 더 찾아 보세요.
보안상 iframe 등의 소스를 <iframe src="" 형태로 변경 출력 하는 흐름이니
여분 사용한다고 해도 결과적으로 관리자가 봤을때 뭐가 처리 되느냐 인 것이 문제로 예상됩니다.
현재 그누 기본스킨이 내용란에서 embed(글 게시가 안되는게 아니라 관리자 권한에서 확인 불가)를 관리자 상태에서 못보는 것에 중점을 두시면 쉬울듯
★ 관리자 아이디는 내용란의 iframe, embed 등 모두 실행 불가하게... 조건 처리 참고로 관련 정보 더 찾아 보세요.
그냥 넣어둬야겠군요. 저 깊숙한곳에.. 고맙습니다.