XETOWN

분수 광장

특정한 주제 없이 자유로운 이야기를 나눌 수 있습니다.
조회 수 167 추천 수 0 댓글 10
?

단축키

Prev이전 문서

Next다음 문서

크게 작게 댓글로 가기 첨부
?

단축키

Prev이전 문서

Next다음 문서

크게 작게 위로 아래로 댓글로 가기 첨부
  • profile
    오징 2016.12.08 17:13:53

  • profile
    기진곰 2016.12.08 17:15:06

    헐 뭥미 ㅋㅋㅋㅋ

     

    XE와 라이믹스에서 필터링에 사용하는 HTML Purifier라는 라이브러리가 원래 class는 모두 허용합니다.

    http://htmlpurifier.org/live/configdoc/plain.html#Attr.AllowedClasses

     

    잘못 사용하면 디자인이 이상하게 보일 수는 있어도 보안에는 문제가 없다는 논리인 것 같은데요...

    레이아웃이나 스킨에서 정의한 클래스를 빌려쓰면 정말 이상하게 만들 수도 있긴 하죠.

  • profile
    exus 2016.12.08 17:17:00
    클래스가 다 허용되는군요 img 에서는 전부 삭제되고 p에서만 남아있길래 뭔가 잘못된줄 알았어요
  • profile
    기진곰 2016.12.08 17:18:45

    이런 문제 때문에 개인적으로 사이트 디자인의 주요 구성요소에는 class보다 id를 사용하는 것을 선호합니다. 요즘은 웬만하면 class를 쓰라고 떠들어대지만, class는 잘못 쓰기가 너무 쉬워서요 ㅋㅋ

  • profile
    고양이 2016.12.08 17:39:47
    PHP 로고 엄청 크게뜨길래 놀랏네요
    편집기에서 제거하고 댓글씁니다.
  • ?
    SimpleCode 2016.12.08 19:54:11
    글이 안 보여서 깜짝 놀랐네요ㅋㅋㅋ
  • profile
    CONORY 2016.12.08 21:27:09
    어차피 class 뿐만 아니라 style 속성으로도 집어넣을 수 있습니다.

    이런 문제를 막기 위해서는 html 편집 자체를 허용하지 않으면 됩니다.
    (그래서 네이버 에디터에는 html 편집 기능이 없다죠.)
  • profile
    YJSoft 2016.12.09 12:29:40
    HTML 에디터 기능을 없애는것도 임시방편일 뿐입니다. 붙여넣기를 허용하는 경우 다른 곳에서 편집한 뒤 붙여넣으면 그만이기 때문이죠. 그것도 안된다면 아예 전송값 자체를 바꿔 버려도 되고요.
  • profile
    CONORY 2016.12.09 18:29:15
    아하!

    흠... 그럼 아예 막을 수 있는 방법은 마크다운 뿐이겠군요.
  • profile
    고수군 2016.12.09 10:52:50
    회원이 사이트를 긁어서 붙이면 이런 현상이 나오더군요. 자유도가 높은것도 참.. 고민이네요

위로
서버에 요청 중입니다. 잠시만 기다려 주십시오...