포럼
page_full_width" class="col-xs-12" |cond="$__Context->page_full_width">
XSS 공격
2013.11.17 09:07
애드온같은 곳에 메시지 입력하는 란 있잖아요, 거기에 스크립트 코드를 입력하면 해당 메시지가 출력되는 페이지에서는 오른쪽과 같이 코드가 실행되네요. 이거 보안상으로 문제 없는건가요?
========
의미가 불확실하게 전달된 것 닽네요. $this->stop('메시지'); 에서 메시지 부분에 스크립트 코드를 넣으면 실제로 실행된다 이말입니다.
그런데 이런 경우 sprintf로 사용자가 입력한 값을 인자로 받아올 때가 있잖아요. 이런과정에서 문제생기지는 않나 의문입니다.