포럼

안녕하세요. XE 를 예전부터 많이 사용해 온 사람입니다. 너무 프레임워크에 의존하는 것보다, 제가 XE 같은 CMS 를 직접 만들어보면 어떨까 하고 
Node.js 로 만들기 시작한 지 한 3주 정도 흘렀네요. XE 처럼 모듈식으로 게시판, 페이지, 회원 등 핵심적인 것만 간단하게 만들었습니다. 이제 샘플 홈페이지만 만들어 놓으면 되는데요 - 궁금한 것이 있습니다. 

XE 에서 각종 HTTP 요청들 있잖아요. GET 요청은 크게 상관 없겠고, POST, DELETE, PUT 등 요청을 받을 때 보안을 어떻게 하는지 궁금합니다. 예를 들어서 특정 게시판을 삭제하는 DELETE 요청이 있다고 해 봅시다. 정상적이라면 admin 화면에서 게시판을 삭제해아 하지만, 알다시피 외부에서도 얼마든지 DELETE 요청을 보낼 수 있습니다. 파이썬이든, 자바든 활용해서 말이죠. 

/admin/delete/board 라는 주소로 특정 게시판 mid 값을 데이터로해서 DELETE 요청을 보내면, 게시판을 삭제하게 된다고 쳐 봅시다. 
외부에서의 요청을 막기 위해 어떤 식으로 코드를 짜야할까요? 예를 들어서 지금 제 게시판 삭제 코드는 클라이언트에서 이렇게 되어 있습니다. 

 

$('.btn-delete').click(function(){
    var confirm = prompt('게시판을 삭제하면 연결된 모든 게시물, 댓글, 첨부파일이 같이 삭제됩니다. 삭제하려는 게시판의 mid 값을 입력해 주세요.');
    if (confirm == $(this).attr('id')) {
        $.ajax({
            url: location.href+"/delete/"+$(this).attr('id'),
            type: "DELETE",
            success: function (data) {
                if (data) {
                    alert(data);
                    location.reload();
                }
            }
        });
    } else {
        alert('게시판의 mid 값이 일치하지 않습니다.');
        return false;
    }
})

 

게시판 mid 값을 입력해야 삭제하는 것은 뭐 그냥 일련의 실수 방지책이고, 어쨌든간에 저 주소로 delete 요청만 보내면 게시판이 삭제될 것 같습니다. 게시판이 삭제되면 연결된 문서, 댓글, 자료 모두 삭제될텐데. 이 경우 서버 쪽에서 보안을 어떻게 해야할까요? 제가 생각하기엔 요청을 보낸 아이디를 검증해야 할 것 같은데, req.user.id == 'admin' ? 이런 식으로 해서 조건에 부합하지 않으면 처리하지 않는 것이 방법인가요? 모든 라우터에 이런 식으로 처리를 해야하나요? XE 는 오래되어서 보안도 그만큼 철저할 것 같은데, 어차피 PHP 로 개발하든 Node.js 로 개발하든 기본적인 구조는 같을 것 같습니다. XE 는 어떤식으로 이런 외부 HTTP 요청을 방지할까요? 

 

글쓴이 제목 최종 글
컴박 php7..문제 없겟지요 [4] 2016.02.27 by 대암지기
gekkou 오랜만에 왔더니 아이디가 폐기됐네요. [5] 2016.02.26 by 독도2005
제이엔지 워드프레스 그만두고 XE로 돌아옵니다 [9] file 2016.02.25 by 제이엔지
제이엔지 XE3에 대한 단상 [23] 2016.02.20 by 제이엔지
gayeon 자료 공유 10 :: 홈페이지 하단 슬라이드 배너 위젯 [22] file 2016.02.20 by gracchus21
이온디 레이아웃 메뉴 출력하는 거 만들고 있는데 어렵네요. file  
BJ람보 누리고 0.1-beta 배포합니다. [6] 2016.02.20 by 이온디
NOVCUBE .exe 파일을 업로드하면 .exe-x 로 바뀌는 현상은 뭔가요? [2] 2016.02.20 by NOVCUBE
사크마 XE에 바라는 몇가지 ... [15] 2016.02.19 by E2ZONE
XESTUDIO xe3 활성화 시기와 xe3 커뮤니티 [2] 2016.02.13 by XESTUDIO
대류 혹시 말입니다. 제로보드4 커뮤니티 있나요? [3] 2016.02.13 by 이온디
misol 제가 배포한 서드파티 코드들에 관심 있으신분 계신가요? [48] 2020.03.14 by smiling
amaq 스크롤을 하고 나면 메인메뉴에 게시판이 가려집니다,, [1] file 2016.02.06 by amaq
delphiXE2 XE의 미래는 아무도 모릅니다. [34] 2016.02.05 by Garon
이온디 XE 개발은 더 이상 진행이 안되나요? [15] 2016.02.04 by 본체
대암지기 설 명절이 다가 오네요!!  
은근 Ssl 설치 많이 어렵나봐요? [5] 2016.01.30 by 다미아빠
고나리자 포럼형식의 장단점 [3] 2016.01.15 by 고나리자
xpressengine01 짧은주소 '예'클릭시 아니오로변경 [2] 2016.01.13 by 참치.k
KTK XE3 현재 XE의 불만 재귀함수... 댓글삭제 속도... [10] 2016.01.12 by BJ람보