묻고답하기
page_full_width" class="col-xs-12" |cond="$__Context->page_full_width">
[보안문제?] exec_json 스크립트를 이용해 로그인 하지 않고도 권한이 걸려있는 게시물 열람하기.
2014.06.14 19:59
jQuery.exec_json( [ act 명 ], [ parameter ], [ 전달받을 함수 ] );
XE의 exec_json 함수의 형태 입니다.
ajax구현을 위해, 해당 함수를 특정 게시판의 리스트를 열람하기 위한 용도로 사용할 수 있습니다.
예를들면 모듈 ID가 board인 경우, 크롬 브라우저의 콘솔에서
jQuery.exec_json("board.dispBoardContentList", {"mid":"board", "page":1}, function(data){ console.log(data); });
이 한줄의 스크립트가 크롬 콘솔창에 아이디를 포함하여 게시판의 내용까지,
만약 회원 권한이 걸려 있더라도, 로그인을 하지 않고도 열람할 수 있습니다.
이거 큰 문제 아닌가요..?
해결방안이 있다면.. 게시판 뜯어 고쳐야하겠죠?
게시판의 액션에 좀 더 제약을 걸어야 하지 않나 생각이 드네요.
게시판을 커스터마이징하여 특정 회원정보를 노출하지 않게 하시는 분들은,
좀 더 신경을 써야할 듯 합니다 ^^;
-------------------- 내용 추가 ---------------
확인해 보니 게시판 접근 권한의 문제였네요. 접근 권한을 로그인 사용자로 수정하면 해결 됩니다만...
'비 로그인 사용자'에 한하여 게시판 목록까지만 열람하게 할 시에는,
잠재적 위험요소가 될 수 있겠습니다. 접근 자체를 막아버려야 하는군요.
해당 경우 그룹에 제한을 걸 때에도 현재로선 소용이 없는 듯 합니다.