- 8
- 이니스프리
- 조회 수 1942
안녕하세요?
PC와 모바일에서 모두 잘 돌아가는 에디터로 CKeditor를 사용하시는 분이 많은 것으로 알고 있는데요.
config.js를 어떻게 설정하고 사용하시나요?
저는 풀 패키지가 아니라 스탠다드 패키지의 CKeditor를 설치했구요.
(풀 패키지는 로딩시에 조금 무거운 것 같더군요 ㅠㅠ)
일단 config.removeButtons에서 언더라인을 삭제해서 밑줄이 가능하도록 했구요.
color button과 panel button 플러그인을 다운받아서
폰트 색상 변경 버튼이 에디터에 출력되도록 했어요 ^^
다른 분들께서는 폰트 색상 부분에 대해서는 어떻게 사용하시는지요?
제가 가장 궁금한 부분은 HTML 태그 필터링과 관련된 부분인데요.
config.allowedContent = true;
vs
CKEDITOR.config.allowedContent = true;
저는 무슨 차이인지 잘 모르겠는데요 ㅠㅠ
외국의 포럼에서 이 두 가지 중 어느 것이 더 적절한지에 대한 논쟁이 있더군요.
둘 중에서 어느 것을 사용하고 계시는지요?
그리고 태그 필터링을 하는 것이 기본 셋팅이면 뭔가 필터링의 장점이 있을텐데요.
보안상의 이유를 제외하면 태그 필터링의 다른 장점이 또 어떤 것이 있을지 여쭤봅니다 ^^
그럼 편안한 밤 되세요!
작성자
댓글 8
감사합니다! 크로스 사이드 스크립트를 막는 것이 가장 중요한 이유이군요
어느 선에선 태그를 허용할지 잘 결정을 해야겠네요
그럼 derCSyong 님께서도 좋은 하루 되세요!
다시 한 번 감사드립니다 ^-^
제가 질문이 불분명했던 것 같은데요
CKeditor에서 태그를 어느 정도 허용하시고
어떤 방법으로 필터링을 하시는지 여쭤보고 싶어요 ^^
그럼 점심식사 맛있게 드세요~
참고로 태그 뿐만 아니라 태그에 들어가는 속성도 필터링 하셔야 합니다 :)
img 태그의 경우에는 이미지를 표시하는 정상적인 태그로 생각해서 허용할 수 있지만, 아래와 같은 경우를 생각하셔야 합니다.
<img src="/" onerror="javascript:alert('XSS!!');" /> 와 같은 것도 필터링이 필요합니다.
앗 정말 그렇네요! 말씀해주셔서 감사합니다 ^-^
관리자만 태그를 쓸 수 있고
다른 회원은 CKeditor에서 적용한 폰트 속성 제외하고는 태그를 쓸 수 없도록 하는 방법 등
여러가지 방안을 놓고 장단점을 생각해봐야겠네요 :)
일기예보상 오늘 저녁부터 토요일까지 눈이 온다는데
humit 님께서도 항상 건강하시고 군 생활 무탈히 잘 하시길 기원합니다 ^-^
감사합니다 :)
img 태그에 svg 확장자를 가진 파일은 불러오지 못하게 하는것도 좋습니다.
a 태그를 통해 스팸링크로 이동할 경우, 쉽게 필터링이 가능하겠지만,
svg 파일을 사용할 경우, 필터링이 쉽지 않습니다.
만약 사이트에 이미지를 클릭하면 이미지를 크게 보여주는 플러그인이 설치되어 있다면
필수적으로 적용하셔야 합니다.
잘 알겠습니다 정말 감사합니다! ^^
다행히 이미지를 크게 보여주는 플러그인이 설치되어 있지는 않지만
svg 파일도 불러오지 못하게 하도록 하겠습니다.
네모 님께서도 감기 조심하시고 좋은 한 주 되세요~
다시 한 번 감사드립니다!
태그 필터링은 xss 막을려고 쓰는사람이 대부분일 것 같습니다. 과도한 text style 사용을 막는다거나 하는 이유도 있을 것 같구요.