팝업이 열릴 때 iframe으로 열리는 경우, 브라우저가 일부 User-Agent 값을 다르게 전달할 수 있음. 특히 Microsoft Edge 브라우저에서는 일부 User-Agent 문자열이 변형됨

 

그래서 verify_mb_key 함수에서 HTTP_USER_AGENT 값을 비교할때 변형된 값으로 비교하게 되므로 

 

"아이피로 XSS 공격이 있었습니다. 관리자 권한을 탈취하려는 접근이므로 주의하시기 바랍니다. 해당 아이피는 차단하시고 의심되는 게시물이 있는지 확인하시기 바랍니다."

 

라는 메시지가 뜨게 됩니다.

 

/lib/common.lib.php 파일에 아래 코드 추가로 해결이 가능합니다. (extend 폴더에 넣으면 반영이 안됨)

 

 

// 회원키 브라우저 (팝업이 열릴 때 iframe으로 열리는 경우, 브라우저가 일부 User-Agent 값을 다르게 전달할 수 있음. 특히 Microsoft Edge 브라우저에서는 일부 User-Agent 문자열이 변형됨)

add_replace('ss_mb_key_user_agent', 'wz_mb_key_user_agent', 1, 1);

function wz_mb_key_user_agent($str_user_agent='') {

    $str_user_agent = md5(substr($_SERVER['HTTP_USER_AGENT'], 0, 80)); // 뒷부분이 변형되므로 뒷부분을 제거.

    return $str_user_agent;

}