html_purifier 비활성시 보안상 얼마나 안좋을까요?

html_purifier 비활성시 보안상 얼마나 안좋을까요?

QA

html_purifier 비활성시 보안상 얼마나 안좋을까요?

본문

video태그를 사용하려고 검색을 많이 해봤는데

if($filter)

            $content = html_purifier($content);

이 부분을 주석처리하면 video태그가 잘 먹히는걸 알았습니다.

저 부분을 사용안하게되면 보안상 많이 취약해진다고 하는데

어떻게 해킹이 들어와서 어떤 피해를 주는지 궁금합니다.

 

현재 autoset를 이용해서 제 컴퓨터로 사이트를 이용중인데

만약 보안이 뚫려서 해킹이 들어온다면, 컴퓨터에 연결된 모든 하드디스크 자료도 피해를 입을 수 있는건가요?

 

이쪽으로는 너무나도 무지한 사람이라 궁금하네요^^;

 

그리고 위 방법이 아닌

 

$config->set('HTML.DefinitionID', 'html5-definitions'); // unqiue id
$config->set('HTML.DefinitionRev', 1);
    $config->set('Attr.AllowedFrameTargets', array('_blank'));
if ($def = $config->maybeGetRawHTMLDefinition()) {
            // http://developers.whatwg.org/the-video-element.html#the-video-element
            $def->addElement('video', 'Block', 'Optional: (source, Flow) | (Flow, source) | Flow', 'Common', array(
              'src' => 'URI',
              'type' => 'Text',
              'width' => 'Length',
              'height' => 'Length',
              'poster' => 'URI',
              'preload' => 'Enum#auto,metadata,none',
              'controls' => 'Bool',
            ));
          }
    $purifier = new HTMLPurifier($config);
    return $purifier->purify($html);
}

 

이 방법으로도 되는걸 확인했는데, pc, 모바일 모두 자동재생이 안되며, pc에서는 멈춰있는 영상이 잘 보이지만

모바일에서는 흰색바탕에 플레이버튼만 크게 보이는데

원래 그런걸까요? 

 

이 질문에 댓글 쓰기 :

답변 1

1. video태그 뿐만아니라 다른 태그들도 같이 허용되기 때문에 

  해킹하려고 한다면 모든게 털리고 사이트도 중지 될 수 있습니다.

단지 video 태그만 사용하고자 한다면,

/lib/common.lib.php 파일에서

function html_purifier($html) 함수를 찾아서..

//include_once(G5_PLUGIN_PATH.'/htmlpurifier/extend.video.php');

이 부분만 주석처리하는 방법도 있습니다.

 

2. 자동재생은 구글링하시면 많이 나옵니다.

https://okayoon.tistory.com/entry/video%ED%83%9C%EA%B7%B8-%EB%B8%8C%EB%9D%BC%EC%9A%B0%EC%A0%80-%EB%AA%A8%EB%B0%94%EC%9D%BC-%EC%9D%B4%EC%8A%88-%EC%A0%95%EB%A6%AC-%EC%82%AC%ED%95%AD

 

답변을 작성하시기 전에 로그인 해주세요.
전체 57
QA 내용 검색

회원로그인

(주)에스아이알소프트 / 대표:홍석명 / (06211) 서울특별시 강남구 역삼동 707-34 한신인터밸리24 서관 1404호 / E-Mail: admin@sir.kr
사업자등록번호: 217-81-36347 / 통신판매업신고번호:2014-서울강남-02098호 / 개인정보보호책임자:김민섭(minsup@sir.kr)
© SIRSOFT