한줄광고 위젯과 모듈에 XSS 대응이 안되어있습니다.
전광판 위젯을 통해 스크립트를 실행이 가능하고
전광판 모듈 리스트를 통해서도 스크립트가 실행이 되더군요.
php를 잘 몰라서 그러는데 어디부분을 어떻게 치환을 하면 되는걸까요.
한줄광고 위젯과 모듈에 XSS 대응이 안되어있습니다.
전광판 위젯을 통해 스크립트를 실행이 가능하고
전광판 모듈 리스트를 통해서도 스크립트가 실행이 되더군요.
php를 잘 몰라서 그러는데 어디부분을 어떻게 치환을 하면 되는걸까요.
댓글 7
라이믹스 기준으로...
문제의 스킨에서 {$변수} 를 출력하는 부분을 찾아 {$변수|autoescape} 로 바꿔주시면 됩니다.
중간에 들어가는 특수문자는 Shift+₩을 누르면 나오는 기호입니다.
XE도 1.11 버전부터는 이 문법을 지원할 예정이라고 합니다.
복잡한 함수 호출하는 것보다 훨씬 쉽게 XSS 방어를 할 수 있거든요.
스킨 파일 전체에 일괄 적용하려면 공홈에 있는 XE 1.11 관련 공지글을 참고하세요.