Q&A

레이아웃의 |noescape 는 어떤 것일까요?

2022.12.07 04:47
1,288
0
CMS/프레임워크 Rhymix 2.0
개발 언어 PHP 7.2

안녕하세요.

 

기본 레이아웃을 보니


{$content|noescape}

 

로 되어있는것을 확인하였습니다. 검색해보니 

 

https://github.com/xpressengine/xe-core/issues/2301

 

템플릿 보안이라고 적혀있는데

 

적용하면 좋을지 궁금합니다.

 

감사합니다.

-----------

오히려 noescape는 미적용한다는 뜻인가보네요. 저는 우선 잘모르는 분야니 noescape를 넣어야겠습니다!!

톰캣 Lv. 11
시대의 흐름에 뒤떨어지지 않도록 아주 천천히지만 노력하고 있습니다.

댓글 3

  • 2022.12.07 05:33 #1727315

    xss 공격이라는 기법이 있는데 그 공격을 막기 위해서 기본적으로 템플릿에서 호출하는 변수에 escape 를 적용하는경우가 있습니다.(auto-escape를 사용할 때) 하지만 html 을 그대로 사용해야할 경우도 있어서 noescape 을 변수 뒤에 붙임으로써 해결을 하는 기능입니다.
    https://github.com/xpressengine/xe-core/pull/1267

    정독하시면 됩니다.

  • 2022.12.07 06:02 #1727318
    람보님 감사합니다
    천천히 정독하였습니다
    최근 기진곰님이 레이아웃 관리자페이지의 스크립트내용을 입력하는것은 권고하지 않는다고 한것인지 조금은 이해가 가는 내용이네요!
  • 2022.12.07 06:11 #1727322

    넣는다고 더 좋은 것도 아니고, 안 넣는다고 더 좋은 것도 아닙니다.
    필요한지 안 필요한지 판단해서 적절히 사용해야지요.
    판단할 수 없다면 아예 안 쓰는 편이 차라리 나을 수도 있고요.

    "물을 끓여서 마시는 것이 좋나요?"
    마시려는 물이 생수인가요, 수돗물인가요, 강물인가요, 바닷물인가요?

    설마 사이다를 끓여서 드시려는 것은 아니겠죠? ㅎㅎ