묻고답하기
이걸 빼면 어떤 문제가 발생할까요?
2014.07.05 01:04
./xe/config/func.inc.php
function removeHackTag($content)
{
require_once(_XE_PATH_ . 'classes/security/EmbedFilter.class.php');
$oEmbedFilter = EmbedFilter::getInstance();
$oEmbedFilter->check($content);
purifierHtml($content);
// change the specific tags to the common texts
$content = preg_replace('@<(\/?(?:html|body|head|title|meta|base|link|script|style|applet)(/*).*?>)@i', '<$1', $content);
/**
* Remove codes to abuse the admin session in src by tags of imaages and video postings
* - Issue reported by Sangwon Kim
*/
$content = preg_replace_callback('@<(/?)([a-z]+[0-9]?)((?>"[^"]*"|\'[^\']*\'|[^>])*?\b(?:on[a-z]+|data|editor_component|style|background|href|(?:dyn|low)?src)\s*=[\s\S]*?)(/?)($|>|<)@i', 'removeSrcHack', $content);
// xmp tag ?뺤씤 �??�붽?
$content = checkXmpTag($content);
return $content;
}
1번 부분을 주석처리하면 어떤 문제가 발생할까요?
purifierHtml 플러그인으로 알고 있는데. 대충 각종 태그들을 정리해주고... 이상한 태그를 삭제해주는 걸로 알고 있는데요..
만약 이 부분을 삭제하면
보안상이라거나 레이아웃을 깨뜨리는 태그... 등의 사용이 가능한걸까요...?
댓글 4
-
애니즌
2014.07.05 14:34
그럼 혹시 <img 태그에서 editor_component 속성을 허용해주려면 어떻게 해야할까요...?
이것 때문에 에디터 컴포넌트가 다 먹통이네요..
-
음? 그럴리가 없는데...;;
버그인가보네요. 이슈등록이라던지...
-
애니즌
2014.07.05 16:02
foreach($editComponentAttrs AS $k => $v)
{
$this->debugPrint($v);
$this->_def->addAttribute('img', $v, 'CDATA');
$this->_def->addAttribute('div', $v, 'CDATA');
}이부분에서 값이 정상적으로 넘어오나,
허용이 안되네요
웃긴건
$this->_def->addAttribute('img', 'editor_component', 'CDATA');
이렇게 직접 추가하면 되구요....-_-
미스테리 합니다.
제 호스팅 문제인건지...
가능할겁니다.
아레 있는 코드로는 XSS를 막을 수 없습니다.