RX/XE 기능개발 내역
RX/XE 기능개발 내역
의뢰 전에 실제 구현가부가 걱정되시는 경우
또는 XE로 이런게 구현가능한지 의구심이 드는 경우들을 위해
실제로 XE 기반으로 제작한 기능들을 간단히 소개합니다.

단, 기재한 모든 기능들은 전부 의뢰자들의 요청에 의해 제작된 유료자료들입니다.
( 타사이트들처럼 템플렛형태로 다량 판매 자료로 만들어진 자료들이 아닙니다. )

따라서 가격대가 저가는 아님을 미리 알려드립니다. ( 기존 의뢰자와의 형평성을 감안해 비용측정됩니다)
구매 및 제작 원하시면 XE 제작의뢰 게시판에 글을 남겨주시면 됩니다.

[그 외 기능 개발] Core 수정 - 내용에 외부 이미지가 있을 경우 해당 외부 이미지로부터 썸네일 생성 않고 이미지 자체 주소를 대신 이용하도록 개선

sejin7940 조회:131 2017.05.02 00:50

기진곰님의 '클라우드플레어 사용시 서버 IP 노출 방지 체크리스트' 글에 따르면 

( https://www.xetown.com/slope/253152 )

 

6. [고급] 외부 요청을 통해 IP가 노출되지 않도록 한다

 

외부 이미지의 섬네일을 생성하거나 이미지 자동 첨부 애드온 등을 사용하면 회원들이 쓴 글에 포함된 이미지를 서버에서 직접 다운받게 됩니다. 그러면 공격자는 자신의 서버에 올려놓은 이미지가 포함된 글을 써놓고 어느 IP에서 그 이미지를 요청하는지 확인할 수 있게 됩니다.

 

이런 취약점을 차단하기 위해서는 가능하면 XE에서 외부 요청을 하지 않아야 합니다. 외부 요청을 발생시킬 만한 모듈이나 애드온은 사용하지 말고, 스킨이나 위젯 등에서 섬네일을 생성하는 코드도 모두 지우고, 꼭 섬네일을 써야겠으면 외부 이미지를 참조하지 말고 첨부파일만 사용하도록 document 및 comment 모듈을 수정할 필요가 있습니다.

 

라고 한다.  

 

 

XE 의 썸네일 생성함수의 원리를 보면..

첨부파일이 있으면 첨부파일을 기준으로 썸네일을 생성하고

첨부파일이 없으면, 본문을 검토해서 본문 내부에 이미지파일이 있으면

해당 이미지파일 주소를 이용해 썸네일을 만들어서 등록하게 구성되어있다.

이미지 파일이 아예 없으면 빈 이미지가 생성이 된다. ( 계속 썸네일 재생성 요청을 하지 않기 위해서 )

 

이 썸네일 생성함수 를 수정해서

본문 첨부파일 기준으로 썸네일 생성시,  자체 도메인이 아니라

외부 도메인으로 등록된 파일은 썸네일 생성대상에서 제외를 시키고

결국 썸네일이 없으면, 해당 외부 이미지 주소 자체를 썸네일주소로 인식하게 수정함으로써

외부이미지에 IP 를 전달하지 않으면서도, 썸네일 자체는 구현이 가능하다

( 물론 실제로는 썸네일이 아니라 원본 이미지를 출력한거기에 조금 느려질 수 있고, 원본 이미지가 사라지면 이미지가 깨지게 되겠지만.. )

목록
전체 1684건
번호 카테고리 제목 등록일
884 썸네일 확장
(sejin7940_thumb) 		원하는 파일명이 포함된 파일을 썸네일화 해 추출하는 기능 / 첨부파일의 file_srl 값을 이용해 썸네일 생성 및 추출기능 file 2017.05.03
883 썸네일 확장
(sejin7940_thumb) 		첨부파일 중 원하는 순번의 파일을 썸네일로 생성하고 출력시키는 확장 기능 구현 file 2017.05.03
882 복수검색
(sejin7940_multi) 		Core의 document 모듈 수정없이 트리거 이용해 복수검색 구현 가능하도록 개선 2017.05.02
» 그 외 기능 개발 Core 수정 - 내용에 외부 이미지가 있을 경우 해당 외부 이미지로부터 썸네일 생성 않고 이미지 자체 주소를 대신 이용하도록 개선 2017.05.02
880 그 외 기능 개발 글쓰기 전 사전 동의 애드온 - 동의 항목을 여러가지로 나눠서 체크받도록 기능 확장 file 2017.05.01
879 타임라인
(timeline) 		주간/월간/상세 기간검색시 타임라인 자체 정렬과 다른 정렬기준이 적용되도록 개선 2017.05.01
878 타임라인
(timeline) 		게시글을 모을 대상을 '선택한 대상에서 제외' 하는 기능을 추가 file 2017.04.30
877 메신저
(sejin7940_talk) 		최근 메세지 내역 출력하는 메신저목록기능과, 여러 대화창을 각각 팝업으로 별도로 띄워 동시에 실시간 대화하는 기능 들 file 2017.04.24
876 ggmailing
(메일발송) 		메일발송시 발송자 닉네임 변수로 가변가능하게 개선 2017.04.23
875 본인인증
(sejin7940_auth) 		NICE 나 KCB 기반의 본인인증을 사용할때에도, 핸드폰 기반으로 ID / PW 찾기 기능 가능하도록 기능 추가 file 2017.04.23
874 닉네임
(sejin7940_nick) 		금지닉네임 등록기능 사용시, 닉네임변경 안 하는 단순 회원정보 변경 안 되는 버그 수정 2017.04.22
873 글 메일링
(sejin7940_mailing) 		댓글 신규 작성/수정/삭제시, 관리자/원본글쓴이/댓글작성자/상위댓글작성자 들에게 댓글 내용 (및 글내용) 메일로 자동 발송하는 기능 개발 file 2017.04.13
872 글 메일링
(sejin7940_mailing) 		새글 등록,수정.삭제시, 관리자,글 작성자,댓글 작성자 등에게 변경된 글 내용 ( 사용자정의와 첨부파일내역까지도 ) 자동으로 메일발송 하는 기능 file 2017.04.12
871 공지 목록화 / 페이징
( sejin7940_notice_list ) 		카테고리내에 일반글이 추가된 경우, 해당 카테고리의 공지글을 업데이트 시켜 정렬시키는 기능 2017.04.05
870 공지 목록화 / 페이징
( sejin7940_notice_list ) 		공지글 목록화 및 페이징화하는 애드온 ( 웹툰 / 신청형 게시판등 특수 용도 목록 제어 기능 ) 2017.04.05
869 회원/게시글/댓글팝업
( sejin7940_popup_menu ) 		마이페이지 상단 탭메뉴 제어 / 본인 또는 타인 닉네임 클릭시 뜨는 팝업메뉴 제어 file 2017.04.05
868 실시간 검색
(sejin7940_find) 		모바일 기반에서 실시건 검색이 가능하도록 개선 2017.04.04
867 메신저
(sejin7940_talk) 		XE 기반으로 메신저 모듈을 신규 개발 완료 - 최대한 카카오톡과 유사하게 file 2017.03.26
866 추천/비추천
(vote) 		방명록 및 링크게시판 등을 위해 목록상에 새로고침 없는 추천/비추천/신고 기능 추가 file 2017.03.26
865 그 외 기능 개발 메시지톡 - php7 에서 정상 작동하도록 기능 개선 2017.03.26
카테고리
XE Login