레이아웃의 |noescape 는 어떤 것일까요?
| CMS/프레임워크 | Rhymix 2.0 |
|---|---|
| 개발 언어 | PHP 7.2 |
안녕하세요.
기본 레이아웃을 보니
{$content|noescape}
로 되어있는것을 확인하였습니다. 검색해보니
https://github.com/xpressengine/xe-core/issues/2301
템플릿 보안이라고 적혀있는데
적용하면 좋을지 궁금합니다.
감사합니다.
-----------
오히려 noescape는 미적용한다는 뜻인가보네요. 저는 우선 잘모르는 분야니 noescape를 넣어야겠습니다!!
톰캣
Lv. 11
시대의 흐름에 뒤떨어지지 않도록 아주 천천히지만 노력하고 있습니다.
댓글 3
xss 공격이라는 기법이 있는데 그 공격을 막기 위해서 기본적으로 템플릿에서 호출하는 변수에 escape 를 적용하는경우가 있습니다.(auto-escape를 사용할 때) 하지만 html 을 그대로 사용해야할 경우도 있어서 noescape 을 변수 뒤에 붙임으로써 해결을 하는 기능입니다.
https://github.com/xpressengine/xe-core/pull/1267
정독하시면 됩니다.
천천히 정독하였습니다
최근 기진곰님이 레이아웃 관리자페이지의 스크립트내용을 입력하는것은 권고하지 않는다고 한것인지 조금은 이해가 가는 내용이네요!
넣는다고 더 좋은 것도 아니고, 안 넣는다고 더 좋은 것도 아닙니다.
필요한지 안 필요한지 판단해서 적절히 사용해야지요.
판단할 수 없다면 아예 안 쓰는 편이 차라리 나을 수도 있고요.
"물을 끓여서 마시는 것이 좋나요?"
마시려는 물이 생수인가요, 수돗물인가요, 강물인가요, 바닷물인가요?
설마 사이다를 끓여서 드시려는 것은 아니겠죠? ㅎㅎ