테스트 사이트 - 개발 중인 베타 버전입니다
SIR
목록으로
이전글 다음글

iframe은 왜 허용안되는 것인지 궁금합니다. 채택완료

야레야렐 11년 전 조회 10,747
답변 4
목록

embed 같은건 보안문제로 관리자로그인하면 노출이 안되는데

 

iframe도 그런식으로 노출이 안되게하면 문제 없는것 아닌가요?

 

또 다른 문제가 있는지 궁금합니다. 

#그누보드4
댓글을 작성하려면 로그인이 필요합니다.

답변 4개

채택된 답변
+20 포인트
레이딘
11년 전

iframe의 경우 XSS도 문제이지만, 일반 사용자들에게 더 큰 문제가 됩니다. iframe을 허용하면, 자신의 웹사이트가 방문자들에게 바이러스를 감염시키는 사이트가 될 수 있기 때문입니다. 

 

iframe은 사용자들에게 바이러스를 감염시키는 용도로 대단히 많이 쓰입니다. iframe의 창 크기를 0으로 해서 보이지 않게 만든 뒤에, iframe에 띄우는 웹페이지를 바이러스를 감염시키게 만드는 페이지로 연결시켜두는 수법을 많이 씁니다. 이런 웹페이지는 웹 브라우저의 보안 허점을 이용하여 바이러스를 사용자의 PC에 설치합니다. 그 때문에 막아두는 거죠.

 

요즘은 유튜브가 동영상 삽입에 iframe을 쓰기 때문에 일부 허용하는 사이트도 있지만, 이 경우도 삽입되는 주소를 검사하여 유튜브가 아닐 경우에는 허용하지 않는 방법을 씁니다.  

로그인 후 평가할 수 있습니다

댓글을 작성하려면 로그인이 필요합니다.

야레야렐
11년 전

그누5,XE에 적용된 htmlpurifier로 관련 소스 대체하고 사용중입니다.

 

그누4에도 바로 적용됬으면 좋겠네요 

로그인 후 평가할 수 있습니다

댓글을 작성하려면 로그인이 필요합니다.

이천이지
11년 전

아맞 관리자권한 탈취보단..

보안상 문제점과 해당사이트에  

태그같은 악성스크립트 삽입때문인것 같습니다. 

로그인 후 평가할 수 있습니다

댓글을 작성하려면 로그인이 필요합니다.

이천이지
11년 전

네이버 답변에서 찾아보았습니다.

 

 

이유는 몇가지 이유가 있습니다.

XSS (Cross Site Scripting ) 스크립트를 이용한 보안상의 문제가 발생하기 때문에 스크립트 및 테그
제한 하여서 해당 부분 원천적으로 막으려는 목적입니다.
또한 iframe 사용할 경우 별도의 창이 해당 사이트에 포함되어 보여지는 형태로 이러한 경우도
해당 사이트와 무관하게 iframe 상의 소스로 인하여 문제를 발생 시킬 소지가 큽니다.
악성코드를 유포할 수도 있구요.
또한 테그를 오픈할경우 사이트 자체 테그가 깨지기도 하기 때문에 이런 부분 방지하기 위한 목적
으로도 테그를 방지하기도 합니다.
테그 및 스크립트를 막는것은 해당 사이트의 정책적인 문제이며 대부분의 큰 사이트틀은 이러한
정책 책정해 사용자의 글쓰기시 필터링하여 해당 부분 처리하므로 필터링 부분에 걸리지 않는

 

로그인 후 평가할 수 있습니다

답변에 대한 댓글 1개

야레야렐
11년 전
일반 사용자에게도 문제가 될 수 있어서 그런건가요

아니면 노출이 안되게해도 관리자권한을 탈취 할 수 있는 위험이 있는건지 궁금합니다.

노출이 안되게 한다는건 정규식으로 관리하는게 아니라

wr_(0~9) 같은 확장필드 사용해서 노출처리를 말합니다.

댓글을 작성하려면 로그인이 필요합니다.

답변을 작성하려면 로그인이 필요합니다.

로그인