RX/XE 기능개발 내역
RX/XE 기능개발 내역
의뢰 전에 실제 구현가부가 걱정되시는 경우
또는 XE로 이런게 구현가능한지 의구심이 드는 경우들을 위해
실제로 XE 기반으로 제작한 기능들을 간단히 소개합니다.

단, 기재한 모든 기능들은 전부 의뢰자들의 요청에 의해 제작된 유료자료들입니다.
( 타사이트들처럼 템플렛형태로 다량 판매 자료로 만들어진 자료들이 아닙니다. )

따라서 가격대가 저가는 아님을 미리 알려드립니다. ( 기존 의뢰자와의 형평성을 감안해 비용측정됩니다)
구매 및 제작 원하시면 XE 제작의뢰 게시판에 글을 남겨주시면 됩니다.

[그 외 기능 개발] Core 수정 - 내용에 외부 이미지가 있을 경우 해당 외부 이미지로부터 썸네일 생성 않고 이미지 자체 주소를 대신 이용하도록 개선

sejin7940 조회:131 2017.05.02 00:50

기진곰님의 '클라우드플레어 사용시 서버 IP 노출 방지 체크리스트' 글에 따르면 

( https://www.xetown.com/slope/253152 )

 

6. [고급] 외부 요청을 통해 IP가 노출되지 않도록 한다

 

외부 이미지의 섬네일을 생성하거나 이미지 자동 첨부 애드온 등을 사용하면 회원들이 쓴 글에 포함된 이미지를 서버에서 직접 다운받게 됩니다. 그러면 공격자는 자신의 서버에 올려놓은 이미지가 포함된 글을 써놓고 어느 IP에서 그 이미지를 요청하는지 확인할 수 있게 됩니다.

 

이런 취약점을 차단하기 위해서는 가능하면 XE에서 외부 요청을 하지 않아야 합니다. 외부 요청을 발생시킬 만한 모듈이나 애드온은 사용하지 말고, 스킨이나 위젯 등에서 섬네일을 생성하는 코드도 모두 지우고, 꼭 섬네일을 써야겠으면 외부 이미지를 참조하지 말고 첨부파일만 사용하도록 document 및 comment 모듈을 수정할 필요가 있습니다.

 

라고 한다.  

 

 

XE 의 썸네일 생성함수의 원리를 보면..

첨부파일이 있으면 첨부파일을 기준으로 썸네일을 생성하고

첨부파일이 없으면, 본문을 검토해서 본문 내부에 이미지파일이 있으면

해당 이미지파일 주소를 이용해 썸네일을 만들어서 등록하게 구성되어있다.

이미지 파일이 아예 없으면 빈 이미지가 생성이 된다. ( 계속 썸네일 재생성 요청을 하지 않기 위해서 )

 

이 썸네일 생성함수 를 수정해서

본문 첨부파일 기준으로 썸네일 생성시,  자체 도메인이 아니라

외부 도메인으로 등록된 파일은 썸네일 생성대상에서 제외를 시키고

결국 썸네일이 없으면, 해당 외부 이미지 주소 자체를 썸네일주소로 인식하게 수정함으로써

외부이미지에 IP 를 전달하지 않으면서도, 썸네일 자체는 구현이 가능하다

( 물론 실제로는 썸네일이 아니라 원본 이미지를 출력한거기에 조금 느려질 수 있고, 원본 이미지가 사라지면 이미지가 깨지게 되겠지만.. )

목록
전체 1683건
번호 카테고리 제목 등록일
1563 글 등록/수정 차단
(sejin7940_block_write) 		글 삭제 제한 (댓글여부) / 댓글 수정 제한 / 댓글 삭제 제한 (대댓글여부) 기능 추가 2022.06.30
1562 휴지통 보완 애드온
(sejin7940_trash_addon) 		휴지통 글 상세보기시 관련 댓글 목록이 출력되도록 지원 file 2022.06.30
1561 휴지통 보완 애드온
(sejin7940_trash_addon) 		작성글 추적시 휴지통에 옮겨진 작성글까지 손쉽게 검색가능한 기능 추가 2022.06.29
1560 그 외 기능 개발 [layerpopup] 레이어팝업 애드온 사용시 팝업 뒤에 검은 배경 나오도록하는 설정추가 2022.06.26
1559 팝업관리
(popup) 		팝업별로 회원에게만 노출 / 비회원에게만 노출하는 팝업 설정 추가 2022.06.01
1558 수정내역
(sejin7940_history) 		차이점 뿐만 아니라 내용 전체 노출하는 설정 추가 / 에디터의 자동줄바꿈 제거해 비교출력하는 설정 추가 2022.05.12
1557 이전글/다음글
(sejin7940_prevnext) 		모바일에서 스와이핑으로 이전글 / 다음글로 바로 넘어갈 수 있는 기능 지원 2022.05.12
1556 수정내역
(sejin7940_history) 		댓글 작성 시점의 글 내용과, 현재의 글 내용을 비교해주는 다이렉트 비교 기능 구현 2022.05.10
1555 수정내역
(sejin7940_history) 		글 내용 비교대상을, html 제거한 글자만 / 이미지는 포함한 글자만 할 수 있게 하는 설정 추가 2022.05.10
1554 회원메모
(membermemo) 		관리자가 전체 메모 내용을 관리하고 검색할 수 있는 관리페이지 추가 2022.04.04
1553 oEmbed 애드온
(sejin7940_oembed) 		공개 텔레그램 ( telegram ) 글에 대한 내용 가져오는 oembed 추가 file 2023.12.06
1552 시험 문제
(examination_question) 		증복응시 횟수 제한 추가 / 적중률에 따라 합격,불합격 처리하는 기능 추가 2022.03.29
1551 글 위로 점프
(sejin7940_jump) 		글작성권한 없어지거나, 글 작성 금지 권한에 속하는 경우 점프 불가능하도록 보완 2022.03.24
1550 길드 모듈
(guild) 		길드 생성 그룹 제한 / 복수 길드 생성 기능 구현 2022.03.24
1549 쪽지 발송수 제한
( sejin7940_message_limit ) 		특정기간동안 개인간/전체 쪽지 발송 횟수 제한 / 관리자제외 / 그룹별 차단횟수 재설정 2022.03.18
1548 쪽지 자동삭제
( sejin7940_message_delete ) 		보낸/받은 쪽지 자동 삭제, 보관함 자동 삭제, 로그인 회원 관련 쪽지 삭제 기능등 2022.03.18
1547 닉네임 추가 출력
(sejin7940_nameadd) 		익명작성자 닉네임 출력을 게시판 관리자나, 글작성자에게 노출가능하도록 설정 추가 2022.03.17
1546 이력서 지원
( sejin7940_resume ) 		구인구직 글의 수정내역을 이력서 지원자 또는 선택된 자가 볼 수 있는 기능 구현 2022.03.08
1545 팝업관리
(popup) 		특정 게시판의 글쓰기 등 (특정 행위)에 대한 팝업 기능 지원 / 복수 행위 지정 / 게시판의 행위 세부 분리 2022.02.28
1544 포인트선물
(pointsend) 		선물발송자시, 발송자정보를 강제익명 또는 유저가 선택적으로 익명처리 가능한 기능 추가 2022.02.23
카테고리
XE Login