iframe은 왜 허용안되는 것인지 궁금합니다.
본문
embed 같은건 보안문제로 관리자로그인하면 노출이 안되는데
iframe도 그런식으로 노출이 안되게하면 문제 없는것 아닌가요?
또 다른 문제가 있는지 궁금합니다.
답변 4
iframe의 경우 XSS도 문제이지만, 일반 사용자들에게 더 큰 문제가 됩니다. iframe을 허용하면, 자신의 웹사이트가 방문자들에게 바이러스를 감염시키는 사이트가 될 수 있기 때문입니다.
iframe은 사용자들에게 바이러스를 감염시키는 용도로 대단히 많이 쓰입니다. iframe의 창 크기를 0으로 해서 보이지 않게 만든 뒤에, iframe에 띄우는 웹페이지를 바이러스를 감염시키게 만드는 페이지로 연결시켜두는 수법을 많이 씁니다. 이런 웹페이지는 웹 브라우저의 보안 허점을 이용하여 바이러스를 사용자의 PC에 설치합니다. 그 때문에 막아두는 거죠.
요즘은 유튜브가 동영상 삽입에 iframe을 쓰기 때문에 일부 허용하는 사이트도 있지만, 이 경우도 삽입되는 주소를 검사하여 유튜브가 아닐 경우에는 허용하지 않는 방법을 씁니다.
네이버 답변에서 찾아보았습니다.
그 이유는 몇가지 이유가 있습니다.
출처
http://kin.naver.com/qna/detail.nhn?d1id=1&dirId=1040205&docId=144308175&qb=aWZyYW1lIOydhCDtl4jsmqntlZjsp4Ag7JWK64qUIOydtOycoA==&enc=utf8§ion=kin&rank=1&search_sort=0&spq=0&pid=R8ltZc5Y7uVssc9X4fCssssssto-108431&sid=U8gBEHJvLCsAAH9uF9Q
일반 사용자에게도 문제가 될 수 있어서 그런건가요
아니면 노출이 안되게해도 관리자권한을 탈취 할 수 있는 위험이 있는건지 궁금합니다.
노출이 안되게 한다는건 정규식으로 관리하는게 아니라
wr_(0~9) 같은 확장필드 사용해서 노출처리를 말합니다.
아맞 관리자권한 탈취보단..
보안상 문제점과 해당사이트에
태그같은 악성스크립트 삽입때문인것 같습니다.
그누5,XE에 적용된 htmlpurifier로 관련 소스 대체하고 사용중입니다.
그누4에도 바로 적용됬으면 좋겠네요
