선택적 iframe 허용하기 미완성임 위험함 누가 도움을

제로보드xe 는 iframe를 선택적으로 허용할 수 있도록 얼마전에 패치를 하였습니다.

그누에서는 그 부분에 대해서 팁도 없고 xe 껄 빼껴 오는 것도 제 실력으로 어림도 없어서

어설프게 적용하였습니다만. 제가 봐도 이건 털리기 딱 쉬울 것 같습니다.

급해서 우선 common.lib.php 456줄 근처



$content = preg_replace($source, $target, $content);
$content = bad_tag_convert($content);




이 구문을



$content = preg_replace($source, $target, $content);
//악성테그 제외 사이트 오리왕자
$sub_site = "www.youtube.com|MovieFlvPlayer.nhn|blogfiles1.naver.net|videofarm.daum.net";
if (!eregi($sub_site, $content))
$content = bad_tag_convert($content);



조건문 하나 넣어서 $content 에 $sub_site 의 문구가 있다면 일단은 통과하는 식으로 만들어봤습니다.

일단은 잘 되고 있습니다. 회원들이 요구할 때 마다 하나씩 추가해 주기만 하면 되니까

어려움은 없습니다만...



제가 정규표현식에는 영... 잼병이라서 itrame 태그 사이에만 허용문구가 있다면 통과하는 식으로

만들면 어느정도 보안효과가 있을 것 같은데 위와 같은 식은 내용에만 있다면 무조건 통과하는 식이라

아는 넘이면 역이용 할수 있는 요지가 다분합니다.

정규표현식 좀 하시는 분이 trame 태그 사이에 문구만 검사하는 식으로 조금만 보완해 주면 괜찮을 것 같다는

생각도 듭니다만....

그런데 막상 정규표현식으로 itrame 태그 사이에 위 문구가 있다면 통과하는 식으로 해 준다고 해도 보안상 위험

이 없을지는 저도 잘 모릅니다.




고수분 중 조금만 손좀 봐주시기를 꼭 부탁드립니다. 꾸벅




ps. 저거 쓰시면 안됩니다. 보안에 허점이 있습니다. 고수분이 보완해 주신 다음 쓰세요.