iframe은 왜 허용안되는 것인지 궁금합니다.
본문
embed 같은건 보안문제로 관리자로그인하면 노출이 안되는데
iframe도 그런식으로 노출이 안되게하면 문제 없는것 아닌가요?
또 다른 문제가 있는지 궁금합니다.
답변 4
iframe의 경우 XSS도 문제이지만, 일반 사용자들에게 더 큰 문제가 됩니다. iframe을 허용하면, 자신의 웹사이트가 방문자들에게 바이러스를 감염시키는 사이트가 될 수 있기 때문입니다.
iframe은 사용자들에게 바이러스를 감염시키는 용도로 대단히 많이 쓰입니다. iframe의 창 크기를 0으로 해서 보이지 않게 만든 뒤에, iframe에 띄우는 웹페이지를 바이러스를 감염시키게 만드는 페이지로 연결시켜두는 수법을 많이 씁니다. 이런 웹페이지는 웹 브라우저의 보안 허점을 이용하여 바이러스를 사용자의 PC에 설치합니다. 그 때문에 막아두는 거죠.
요즘은 유튜브가 동영상 삽입에 iframe을 쓰기 때문에 일부 허용하는 사이트도 있지만, 이 경우도 삽입되는 주소를 검사하여 유튜브가 아닐 경우에는 허용하지 않는 방법을 씁니다.
네이버 답변에서 찾아보았습니다.
그 이유는 몇가지 이유가 있습니다.
XSS (Cross Site Scripting ) 스크립트를 이용한 보안상의 문제가 발생하기 때문에 스크립트 및 테그
제한을 하여서 해당 부분을 원천적으로 막으려는 목적입니다.
또한 iframe 을 사용할 경우 별도의 창이 해당 사이트에 포함되어 보여지는 형태로 이러한 경우도
해당 사이트와 무관하게 iframe 상의 소스로 인하여 문제를 발생 시킬 소지가 큽니다.
악성코드를 유포할 수도 있구요.
또한 테그를 오픈할경우 사이트 자체 테그가 깨지기도 하기 때문에 이런 부분을 방지하기 위한 목적
으로도 테그를 방지하기도 합니다.
테그 및 스크립트를 막는것은 해당 사이트의 정책적인 문제이며 대부분의 큰 사이트틀은 이러한
정책을 책정해 사용자의 글쓰기시 필터링하여 해당 부분을 처리하므로 필터링 부분에 걸리지 않는
스크립트를 사용하여 구현하지 않는이상 방법은 없습니다.
출처
http://kin.naver.com/qna/detail.nhn?d1id=1&dirId=1040205&docId=144308175&qb=aWZyYW1lIOydhCDtl4jsmqntlZjsp4Ag7JWK64qUIOydtOycoA==&enc=utf8§ion=kin&rank=1&search_sort=0&spq=0&pid=R8ltZc5Y7uVssc9X4fCssssssto-108431&sid=U8gBEHJvLCsAAH9uF9Q
출처
http://kin.naver.com/qna/detail.nhn?d1id=1&dirId=1040205&docId=144308175&qb=aWZyYW1lIOydhCDtl4jsmqntlZjsp4Ag7JWK64qUIOydtOycoA==&enc=utf8§ion=kin&rank=1&search_sort=0&spq=0&pid=R8ltZc5Y7uVssc9X4fCssssssto-108431&sid=U8gBEHJvLCsAAH9uF9Q
아맞 관리자권한 탈취보단..
보안상 문제점과 해당사이트에
태그같은 악성스크립트 삽입때문인것 같습니다.
그누5,XE에 적용된 htmlpurifier로 관련 소스 대체하고 사용중입니다.
그누4에도 바로 적용됬으면 좋겠네요
답변을 작성하시기 전에 로그인 해주세요.