안녕하세요. 애드리빙입니다.
애드리빙에서는 사이트 방문자에 의한 XSS 공격을 방지하고자, HTML 에디터 작성을 통한 iframe 생성을 제한할 예정입니다. YouTube, 네이버TV, 구글 지도와 같은 일반적인 서비스는 별도의 조치 없이 기존처럼 사용하실 수 있습니다.
(기본 허용 도메인은 공지 하단을 참고해 주세요)
- 적용일: 2021년 10월 5일(화)
- 적용대상: 애드리빙에서 제작하는 전체 사이트
- 적용위치: 게시물 작성, 문의 작성, 캘린더 일정 작성 (HTML 에디터)
이미 작성된 iframe 태그는 영향을 받지 않으며, HTML 에디터를 통해 신규 글을 작성하는 경우에만 iframe 태그 작성 완료시 일반 텍스트로 변환됩니다. SEO, 코드위젯 등 사이트 운영자가 구성해둔 iframe은 제한하지 않습니다.
iframe 허용 도메인 추가 방법(사이트 보안 설정)
운영자가 허용하는 도메인에 대해서만 iframe 작성을 허용할 수 있으며, 추가된 보안 설정을 통해 방문자가 iframe 태그 사용시 허용할 도메인을 설정할 수 있습니다. 해당 사이트 보안 설정은 모든 사이트에 기본 설정됩니다. 아래의 위치에서 수정이 가능합니다.
- 기능위치 : 환경설정 > 보안 및 개인정보 보호 > 사이트 보안 설정 > iframe 사용 시 허용되는 도메인 등록
(허용 도메인 목록에서 mysite.com 을 추가하면 mysite.com/1234/abc 와 같이 하위 주소를 포함한 URL 모두 iframe 사용 경로로 허용됩니다.)
iframe 기본 허용 도메인
iframe 사용률이 높으며, 신뢰할 수 있는 국내외 서비스와 내 사이트에 연결된 도메인은 보안 설정 사용시 도메인 입력없이도 기본 허용됩니다.
- youtube.com
- vimeo.com
- naver.com
- google.com
- twitch.tv
- facebook.com
- 기본도메인(*.imweb.me, *.com...)
단, 사이트 보안 설정을 해제하는 경우 모든 iframe 태그 사용이 제한됩니다.
참고: XSS(Cross-Site Scripting) 란?
웹 애플리케이션에서 일어나는 취약점으로 관리자가 아닌 권한이 없는 사용자가 웹 사이트에 스크립트를 삽입하는 공격 기법으로 관리자의 허락 없이 기능 동작을 유도할 수 있습니다.
감사합니다.
안녕하세요. 애드리빙입니다.
애드리빙에서는 사이트 방문자에 의한 XSS 공격을 방지하고자, HTML 에디터 작성을 통한 iframe 생성을 제한할 예정입니다. YouTube, 네이버TV, 구글 지도와 같은 일반적인 서비스는 별도의 조치 없이 기존처럼 사용하실 수 있습니다.
(기본 허용 도메인은 공지 하단을 참고해 주세요)
이미 작성된 iframe 태그는 영향을 받지 않으며, HTML 에디터를 통해 신규 글을 작성하는 경우에만 iframe 태그 작성 완료시 일반 텍스트로 변환됩니다. SEO, 코드위젯 등 사이트 운영자가 구성해둔 iframe은 제한하지 않습니다.
iframe 허용 도메인 추가 방법(사이트 보안 설정)
운영자가 허용하는 도메인에 대해서만 iframe 작성을 허용할 수 있으며, 추가된 보안 설정을 통해 방문자가 iframe 태그 사용시 허용할 도메인을 설정할 수 있습니다. 해당 사이트 보안 설정은 모든 사이트에 기본 설정됩니다. 아래의 위치에서 수정이 가능합니다.
(허용 도메인 목록에서 mysite.com 을 추가하면 mysite.com/1234/abc 와 같이 하위 주소를 포함한 URL 모두 iframe 사용 경로로 허용됩니다.)
iframe 기본 허용 도메인
iframe 사용률이 높으며, 신뢰할 수 있는 국내외 서비스와 내 사이트에 연결된 도메인은 보안 설정 사용시 도메인 입력없이도 기본 허용됩니다.
단, 사이트 보안 설정을 해제하는 경우 모든 iframe 태그 사용이 제한됩니다.
참고: XSS(Cross-Site Scripting) 란?
웹 애플리케이션에서 일어나는 취약점으로 관리자가 아닌 권한이 없는 사용자가 웹 사이트에 스크립트를 삽입하는 공격 기법으로 관리자의 허락 없이 기능 동작을 유도할 수 있습니다.
감사합니다.