포럼
SRL조작을 막으려면 아래와 같이 해주세요.
2014.03.30 20:33
게시판 스킨에서
<include target="_header.html" /> <form action="./" method="post" onsubmit="return procFilter(this, window.insert)" class="board_write"> <input type="hidden" name="mid" value="{$mid}" /> <input type="hidden" name="content" value="{$oDocument->getContentText()}" /> <input type="hidden" name="document_srl" value="{$document_srl}" />
여기서
<input type="hidden" name="document_srl" value="{$document_srl}" /> 이걸 지워주면 SRL조작은 막을 수 있습니다.
그리고 mid값 역시 삭제해주시면 됩니다.
https://github.com/ForPeople/xe-module-board/commit/1cf58a056b194a5d4dffd6316525ad5db7145896
GG님의 수정법입니다 해당 부분이 답인거 같습니다.
댓글 19
-
도라미
2014.03.30 20:34
-
KrteamENT
2014.03.30 20:35
지워도 정상 글등록 됩니다.
-
W.O
2014.03.30 20:34
해봤자 무용지물입니다. php단에서의 수정이 필요합니다. 요소검사에서 아예 edit html로 저 부분을 넣어버리는 경우 답이 없죠.
-
KrteamENT
2014.03.30 20:35
아 그렇네요. 좀더 해보고 수정해서 방법을 추가하겠습니다.
-
LI-NA
2014.03.30 20:35
어짜피 POST 값에 추가하면 됩니다.
그리고 그렇게 사용하면 글 수정이 불가능해지는 오류가 있습니다.
지금 글쓰기 방식을 2개로 나눠야할 것 같네요.
-
KrteamENT
2014.03.30 20:36
POST값에 추가하니 되네요.
수정도 조금 그렇고...
흠 모듈단 자체를 수정해야곘어요
-
GG
2014.03.30 20:44
저걸 삭제하면 글 수정은 어떻게 하시려고 그러시나요 ;;;
-
KrteamENT
2014.03.30 20:45
수정 그러고보니 지금 시도하니 잘되는거 같은데여 ㅇㅁㅇ..?
-
GG
2014.03.30 20:47
수정이 아니라 document_srl 이 새로 발급되지 않았나요?
즉, 새글 등록처럼 되신게 아닌가 해서요.
-
KrteamENT
2014.03.30 20:48
아..; 이페이지가 아이프레임이라 그걸 몰랐네요 ㅇㅅㅇ;;
-
W.O
2014.03.30 21:09
GG님의 팁으로는 완전 해결이 안됩니다..... 첨부파일기능을 사용해야하며, 글을 쓸때에나 불완전하게 적용되는 팁이죠...
srl 발급 방식 자체를 바꿔야하며 @LI-NA 님의 말씀처럼 XE 글 수정/등록방식에 대해 구조적인 접근이 필요한 부분입니다.
-
KrteamENT
2014.03.30 21:10
GG님의 소스를 가지고 몇일간 고민해볼 생각입니다.
의뢰하던것들은 해당 부분을 케어한다고 말씀드리고 조금 연장시키고 해봐야겠습니다.
-
GG
2014.03.30 21:14
제가 생각해 본 코드는 완벽한 수정법이 아닙니다.
단지 예전에 저도 생각해 본 것이라고 표현한 것 뿐입니다. 맹신하지 않으셨으면 좋겠어요.
이게 단순히 글 등록, 수정 문제만 생각하지 마시고, 파일 첨부 방식까지 고려해서 생각해 주셨으면 좋겠어요.
그냥 글 등록 수정 과정에서 document_srl 변조 문제는 사실 막을 수 있습니다.
그런데 파일 첨부까지 생각하면 제 실력으로는 현재 에디터의 업로드 방식 자체를 다 고치지 않는 이상 막을수가 없었습니다.
그렇다고 다 뜯어 고칠 실력이 있는것도 아니구요.
-
KrteamENT
2014.03.30 21:19
파일첨부까지 한번 고려해서 해볼게요 :)
-
GG
2014.03.30 21:19
https://github.com/xpressengine/xe-core/issues/274 이 문제를 해결하실 수 있으면 해결 된 겁니다 :)
-
KrteamENT
2014.03.30 21:21
넵 감사합니다
-
Luatic™
2014.03.30 21:12
일단 적용해보았네요.. @GG 님 및 여러분들 고생하셨습니다.
-
KrteamENT
2014.03.30 21:13
고생하신건 제가 아니라 다른분들 인거 같아요 ㅠ
-
Luatic™
2014.03.30 21:15
여튼 개발팀말고도 여러분들이 XE를 발전시키는 모습을 실시간으로 보니 좋네요 :)
글쓴이 | 제목 | 최종 글 |
---|---|---|
DynamicLaser | 코딩하실때 프로그램에서 어떤 서체를 선호하시나요? [15] | 2020.03.14 by LI-NA |
그날들 | 프로필 사진 영역 [13] | 2020.03.14 by 애니즌 |
아이러브위키 | XE 보안 구멍이 있는 것인가요!! 도와주세요 [4] | 2014.04.03 by 가브리엘조 |
XE | XE 1.7.4 버전에서 알려진 문제와 해결 방법 [5] | 2015.05.14 by sho |
쌔때 | 메뉴 출력기(navigator) 중 가로메뉴가 안되요 [5] | 2011.07.22 by 쌔때 |
SMaker | XE Admin 1.5.0 (#Part 1- 외전) | |
라르게덴 | XEED 좀 어떻게 해보세요. ㅠㅠ [16] | 2011.05.26 by 하늘종 |
내일로 | XE 1.5.0의 설치화면이 인상 깊습니다. [10] | 2020.03.14 by 데시 |
소셜웹 | xe 게시판에 이미지가 안 올라가는 이유가 무엇인가요? [5] | 2011.07.04 by 고수군 |
라르게덴 | XE는 무슨색입니까 [14] | 2020.03.14 by 인간a |
유샤인 | 왜 이런 희한한 현상이 벌어지는 지 아시는 분 있으신지? [6] | 2011.06.29 by 유샤인 |
우리아기 | Cent OS 6.x nginx + php-fpm + mariadb 설치 영상 없나봐요 [8] | 2014.04.02 by natura |
xezzang2 | 요즘 클라우드라는게 대세라는데 [3] | 2014.04.02 by LI-NA |
BonaSera | DNSever 유료화 된다는군요 [7] | 2014.04.02 by Garon |
마음의빈자리 | 무료 DNS 정보네요. | |
prologos | 게시글 관리문제 | |
도라미 | 다올 CMS 1.0.0.2 베타3 배포 (XE 1.5 보안패치) 긴급 !! [19] | 2014.04.02 by 업글 |
자대련 | 코어 업데이트 후 회원가입 이름이 숫자(번호)로 뜨는 현상 수정 | |
국가정보보안 | 웹서버 트래픽 시각화 [1] | 2014.04.01 by Luatic™ |
우리아기 | 호스팅에서 많이 쓰는 php 버전이 여떻게 될까요? [9] | 2014.04.01 by Luatic™ |
지워도 상관없는건가요...