메인 공지사항 기능소개 매뉴얼     TEST BOARD : [1]  [2]  [3]  [4]  [5]
내용없음9
내용없음10
      Main Intro
메인

공지사항

기능소개

매뉴얼

  TEST BOARD
    [1] [2] [3] [4] [5]
최근 30일 POINT RANK
결제충전및 스킨매매 포인트 제외
아이케
스카라베
신홍
작은소망
5
TECHSTAR
6
별미일체
7
기즈모SOFT
8
늑대소냐
9
화랑
10
콜라~
11
청주산의
12
캥가루
13
찬이아빠
14
미미
15
컴퓨터나라
16
소망의힘
17
NE1
18
유오성
19
호크신
20
진호네
21
체리피커
22
쨔응교
23
신태원
24
정승현
25
양산박
26
니사누
27
노트패
28
아이맨
29
상옥이
30
yerangman
XSS 보안 html 필터링 유틸(HTML Purifier) 적용
 technote notice
테크노트 공지사항
ㆍ작성일: 2015/02/16 (월)
XSS 보안 html 필터링 유틸(HTML Purifier) 적용
 
XSS는 게시판, 웹메일 등에 악의적인 스크립트코드를 삽입하여 다른 사용자의 사용을 방해하거나 쿠키 및 기타 개인 정보를 특정
사이트로 전송시키는 등 클라이언트 영역에서 이뤄지는 일종의 페이지 변조 해킹방식을 뜻하는 말입니다.
이 문제를 해결하려면 글등록시 본문내용에 입력된 html 요소를 철저히 검사해서 위험요소를 제거한 후에 저장되게 해야 합니다.
테크노트 게시판 설정항목엔 등록불가 단어 설정항목이 있으나 일일이 지정하기도 쉽지않고 기능적으로도 역부족이므로
별도의 파일작업이 불가피합니다.  아래 설명대로 설치해 주면 되겠습니다.
 
* 다운로드:  util_htmlpurifier.php(5.6KB)
 
 
------------------------------------------
  HTML Purifier - 테크노트적용 유틸
------------------------------------------
  * 기능 : XSS 보안 html 필터링
  * 적용영역 : 게시판 글등록 , 회원간 쪽지전송
  * 적용방법 :  아래 순서대로 설치
      1, http://htmlpurifier.org/download 에서 'htmlpurifier-4.6.0.zip' 파일을 다운 받아 pc에서 압축해제하여
      2, 폴더명을 'htmlpurifier' 으로 하여 테크노트 설치경로에 FTP로 올림 ( ~/technote7/htmlpurifier/ )
      3, 본 파일(util_htmlpurifier.php)을 테크노트 설치경로에 FTP로 올림 ( ~/technote7/util_htmlpurifier.php )
      4, 기 설치된  ~/technote7/include/board/config.php  파일을 FTP로 내려 받아 편집기로 열고 맨끝 부분에 아래 코드를 삽입.
               // XSS 보안 필터링 - 게시판글
               if($command == 'save' and $tbody and $bodytype != 1 and $Bconfig['ck6_5'] == 1){
                  include './util_htmlpurifier.php';
                  $tbody = tnt_htmlpurifier($tbody);
               }

      5, 기 설치된  ~/technote7/skin_member/mem_standard/msg_write.php 파일을 FTP로 내려 받아 편집기로 열고
           상단부의 설정항목들 마지막 부분에 아래의 코드를 삽입함.
               // XSS 보안 필터링 - 쪽지글
               if($tbody and $msg_send){
                  include './util_htmlpurifier.php';
                  $tbody = tnt_htmlpurifier($tbody);
               }

        6, 설치끝, 게시판 글등록 및 쪽지전송 테스트하기.
 
  * 기타 :
        * php5.0 이상일때만 오리지널 'htmlpurifier' 가 적용되고 이하 버전에선 낮은 수준의 필터링이 적용됨.
        * 게시판 글등록시 불완전한 html 코드를 입력하는 경우 글 내용이 부분적으로 삭제될 수 있음.
        * 본글에 첨부된 'util_htmlpurifier.php' 파일은 UTF-8 인코딩 파일입니다만 테크노트EUC-KR 에 그대로 사용해도 됩니다.
            만약 테크노트EUC-KR 에 사용시 문제가 생긴다면 편집기로 열어서 EUC-KR 또는 ANSI 로 재저장해서 사용하십시오.