묻고답하기
page_full_width" class="col-xs-12" |cond="$__Context->page_full_width">
[보안문제?] exec_json 스크립트를 이용해 로그인 하지 않고도 권한이 걸려있는 게시물 열람하기.
2014.06.14 19:59
jQuery.exec_json( [ act 명 ], [ parameter ], [ 전달받을 함수 ] );
XE의 exec_json 함수의 형태 입니다.
ajax구현을 위해, 해당 함수를 특정 게시판의 리스트를 열람하기 위한 용도로 사용할 수 있습니다.
예를들면 모듈 ID가 board인 경우, 크롬 브라우저의 콘솔에서
jQuery.exec_json("board.dispBoardContentList", {"mid":"board", "page":1}, function(data){ console.log(data); });
이 한줄의 스크립트가 크롬 콘솔창에 아이디를 포함하여 게시판의 내용까지,
만약 회원 권한이 걸려 있더라도, 로그인을 하지 않고도 열람할 수 있습니다.
이거 큰 문제 아닌가요..?
해결방안이 있다면.. 게시판 뜯어 고쳐야하겠죠?
게시판의 액션에 좀 더 제약을 걸어야 하지 않나 생각이 드네요.
게시판을 커스터마이징하여 특정 회원정보를 노출하지 않게 하시는 분들은,
좀 더 신경을 써야할 듯 합니다 ^^;
-------------------- 내용 추가 ---------------
확인해 보니 게시판 접근 권한의 문제였네요. 접근 권한을 로그인 사용자로 수정하면 해결 됩니다만...
'비 로그인 사용자'에 한하여 게시판 목록까지만 열람하게 할 시에는,
잠재적 위험요소가 될 수 있겠습니다. 접근 자체를 막아버려야 하는군요.
해당 경우 그룹에 제한을 걸 때에도 현재로선 소용이 없는 듯 합니다.
댓글 0
글쓴이 | 제목 | 최종 글 |
---|---|---|
XE | 공지 글 쓰기,삭제 운영방식 변경 공지 [16] | 2019.03.05 by 남기남 |
mr33 | 공홈에서 사용중인 에디터 [2] | 2015.04.07 by mr33 |
빅스타 | 소셜xe 회원가입시 비밀번호 받기 [1] | 2015.04.07 by 빅스타 |
T3RR3T | 섬네일문제 [8] | 2015.04.07 by T3RR3T |
김동하123 | 제목영역위젯 이 안되네요 | |
지원필요 | 추천수 자동새로고침 [1] | 2015.04.07 by 고종훈 |
고종훈 | 댓글을 달아야만 비추천 누를수 잇는 기능 [2] | 2015.04.07 by 고종훈 |
또별 | 스마트폰에서 PC모드보기 하단 글자 문의 [2] | 2015.04.07 by 또별 |
DJKain | 미솔님의 misol M ver. 1.2 와 모바일XE 연동해서 이미지 업로드하는 방법좀 알려주세요 | |
본히 | 댓글 작성시 작성한 댓글 수 표시 [1] | 2015.04.07 by sejin7940 |
키스미베이베 | 심플스트랩 레이아웃시에 모바일은 안되나요? | |
plusnet21 | 로그인을 이메일에서 아이디로 변경후 로그인문제 [1] | 2015.04.06 by 휘즈 |
언제배우지 | 로봇이 쓰고간글 지울수가 없네요 ㅡ.ㅡ [1] | 2015.04.06 by 휘즈 |
Azpi | 모바일뷰를 사용 안하는데 모바일에 최적화된 화면으로 보기 문구가 뜹니다 [2] | 2015.04.06 by Azpi |
위드후 | 최신 글 목록에 유투브 영상 게시하는 방법 [1] | 2015.04.06 by BJ람보 |
나아다아자 | 상품검색이요...아시는분 | |
오장 | 홈페이지 새로운 서버 새로운 주소로 이전후 이미지 엑박문제입니다. [3] | 2015.04.06 by 대암지기 |
손주사랑 | xe게시판에서 아이프레임 적용방법 부탁드림니다 [1] | 2015.04.06 by 반걸 |
아는이 | 관리자 아이피대역에 대해 여쭙니다. [6] | 2015.04.06 by 아는이 |
heute | 한글이 안나옵니다. [1] | 2015.04.06 by Podongi |
컴박살 | atom10.html에서.... [2] | 2015.04.06 by 늘원 |