XSS 공격 방지를 위한 회원가입폼의 스크립트 사용 차단 채택완료
Eltan
11년 전
조회 7,879
회원가입폼을 보면
자기 소개란과 홈페이지 적는 부분이 있는데
이곳에 현재 모두 자바스크립트가 사용 가능합니다.
(그누보드 버전: 4.32.01)
이런 스크립트를 홈페이지란이나 자기소개란에 적으면 모두 hello를 내보는군요..
XSS 공격에 노출이 될까 걱정스럽습니다.
그누보드4의 보안패치를 찾아봐도 이걸 방지하는 코드는 없는 것 같던데..
혹시 자바스크립트(html은 허용하려고 합니다)를 차단하는 방법이 없을까요?
댓글을 작성하려면 로그인이 필요합니다.
답변 1개
채택된 답변
+20 포인트
11년 전
이름에서도 그렇네요.
DB에서 지워버려야지 그렇지 않으면 관리자창에서 계속 스크립트가 작동됩니다.
register_form_update.php에서
if (preg_match('/script/',$_POST['mb_name'])) {
alert('오류:보안에 위배되는 단어가 포함되어 있습니다.');
}
위는 단지 예시일 뿐이고 어떻게든 XSS를 막는 함수를 작성해
인크루드해서 사용해야 할 듯요 ㅎㅎ
로그인 후 평가할 수 있습니다
답변에 대한 댓글 1개
E
Eltan
11년 전
댓글을 작성하려면 로그인이 필요합니다.
답변을 작성하려면 로그인이 필요합니다.
로그인
도움이 되었습니다. ^^