제목 | XSS 클린 기능에 의한 style 삭제 문제점 | ||
---|---|---|---|
글쓴이 | risa | 작성시각 | 2013/02/27 09:09:39 |
|
|||
CI 에서 XSS 클린 기능을 사용시 style 를 삭제 하는 문제점에 대해 문의 드립니다. 네이버의 스마트 에디터를 사용시 글자 크기는 <span style='폰트스타일'> </span> 타고 들어갑니다. 전송값을 보면 <span 25tp;> </span> 으로 전송 됩니다. XSS 때문에 나온 문제 입니다. 당연하게도 XSS 기능을 끌수는 없는 문제 이기에 어떻게 하는게 좋을까 문의 드립니다. 딱히 스마트에디터에 구애받을 이유는 없기에 CI 포럼처럼 CK 에디터를 넣어서 해결 하려고 합니다만 이러한 XSS 필터 기능이 문제가 될수 있기에 한번 문의 드립니다. 별도로 페이지별로 나눠서 일정 기능에 대해서는 XSS 기능을 미적용 시키는 방법은 없는 걸까요? [이 한줄 물어보기 위해 사정이 좀 길어 졌네요] |
|||
다음글 | 컨트롤에 있는 함수를 직접호출 (3) | ||
이전글 | 조인시 중복 칼럼명 (2) | ||
변종원(웅파)
/
2013/02/27 11:17:47 /
추천
0
안될것 같습니다. Config에서 xss 옵션 끄고 필요 부분마다 xss 필터링 하시는게 좋을 것 같네요.
아니면 코어를 건드리는 수밖에....
열어보시면 필터링대상을 배열로 선언해놨습니다. 거기서 style을 빼면 됩니다만 위험은 감수하셔야합니다.
|
risa
/
2013/02/27 11:47:12 /
추천
0
답변 감사합니다.
딱히 방법은 없는 거군요. 일단 시발점은 에디터 때문에 나온 문제니 CK 에디터 넣는걸로 하고 XSS 필터 문제는 체크 좀 해봐야겠네요. |
criuce
/
2013/02/27 12:15:33 /
추천
0
한가지 여쭤볼것이 ck에디터도 마찬가지로 style 속성을 사용할텐데 에디터를 변경해서 해결할 수 있는 문제인가요?
|
변종원(웅파)
/
2013/02/27 13:00:07 /
추천
0
Ckeditor도 마찬가지입니다.
포럼소스도 그래서 config에서 xss 빼놨습니다. ^^;
|
risa
/
2013/02/27 13:37:07 /
추천
0
헐...;
ckeditor 테스트 할때 꺼놓고 했네요 ; 자 그럼 이 일은 어쩐다; XSS 꺼놓고 페이지별로 XSS 라이브러리를 만들어서 먹여야 하나..; 아니면 에디터를 커스텀 해야 하나; |
criuce
/
2013/02/27 20:31:45 /
추천
0
보통은 http://htmlpurifier.org/download 요걸 많이 씁니당~
|
박순철
/
2013/03/28 14:46:30 /
추천
0
아....
다음에디터 작업중에 위와 같은 상황이 벌어져서 무슨 문제인가 했는데 xss 때문이였군요... 웬종일 헤맸는데..;;;;;;;; |