| CMS/프레임워크 | Rhymix 2.1 |
|---|---|
| 개발 언어 | PHP 8.3 |
<script>alert('XSS')</script>
얼럿창이 뜨더라구요.
여기서는 잘막히는데
아 관리자라서...ㅋㅋㅋㅋ 안막혔네요
그렇다면 ERR_UNSAFE_VAR 의 문구는 숨기거나 변경하는게 좋지 않을까 하는 생각이 살짝 들었습니다.
뭔가 lang 처리가 안된 순수한 느낌도 나구요
위에 보안정책상 허용~~ 만들어가도 충분한 정보같은 느낌이라 그냥 의견만 남겨봅니다.
톰캣
Lv. 11
시대의 흐름에 뒤떨어지지 않도록 아주 천천히지만 노력하고 있습니다.
![image.png [File Size:2.8KB/Download:3]](/files/download/link/1913660/d56a1128ab6d28f4dbc71b8cde065bb4/image.png){kind=link}
댓글 6
ERR_UNSAFE_VAR, ERR_CSRF_CHECK_FAILED, ERR_ACT_IS_NOT_STANDALONE 같은 것들은 에러 메시지가 아니라 디버깅을 돕기 위한 에러 코드입니다. "잘못된 요청입니다"나 "보안정책상 허용되지 않습니다" 같은 에러 메시지가 나오는 경우의 수가 워낙 많다 보니, 자료를 개발하거나 질문글을 올리시는 분들에게 조금이나마 도움을 드리기 위해...
그러네요 ㅎㅎ 또 이해가 가긴갑니다.
근데 악성 유저한테는 정보를 과도하게 제공하는 느낌도 나고 왜 주요통신기반 가이드 보면 404 에러 숫자도 가리라고 하잖아요 ㅎㅎㅎ F12 누르면 다나오지만요 ㅋㅋ
이런 에러 메시지가 나올때금이면 디버깅 하기가 꽤 수월했던거 같습니다.
특히 act_is_not_standalone같은 메시지는 딱 한번 보면 아!!! 하고 다시보게 되거든요.
아니면 최고 관리자 권한이 있을때만 나온다던지 하면 좋긴 하겠습니다.
맞아요 최고 관리자에게만 나오는게 사실 ! 보안관점에서는 맞긴할거라 생각이들어서요
근데 또 어떠한 관점에서는, 개발중인 모듈이 실제 서비스에 올라가 있을 이유가 없으니 개발 서버에서 볼 것이기에 필터링을 꼭 해야할까 라는 의문점도 들긴 합니다.
건강하고 지속 가능한 개발을 위해서라도 Github배포는 못하더라도 개발서버 -> 실 서비스 서버 로 옮기는 작업을 통해서 배포를 해야한다고 생각하거든요
원글의 사례처럼, 관리자 권한이 있는지 없는지에 따라 증상이 달라지는 경우도 있어서요.
모든 사람이 에러 로그를 보면서 코딩한다면 참 좋겠지만
현실의 유저들은 개발자도구조차 볼 줄 아는 분이 별로 없는 것 같네요. ㅠ