CI 묻고 답하기

제목 config파일의 global_xss_filtering 세팅과 post input 클래스에 대해서 궁금한점이 있어서 질문 드립니다.
글쓴이 마기 작성시각 2015/11/02 22:37:43
댓글 : 3 추천 : 1 스크랩 : 0 조회수 : 16521   RSS
안녕하세요. xss filtering 세팅과 post input 클래스 관련 글을 보던중 궁금증이 있어서 질문 드립니다.

config파일의 xss filtering 세팅을 하려면 
$config['global_xss_filtering'] = FALSE;
이 부분을 TRUE로 바꾸라는 내용을 봤는데

$this->input->post('some_data', TRUE);
이렇게 두번째 파라메터에 TRUE를 입력하면 해당 데이터를 xss 필터링 해준다는 내용도 봤습니다.

여기서 궁금한게..
만약 두번째 파라메터에 TRUE를 입력하면 굳이 config파일의 global_xss_filtering 변수를 TRUE 안해도 되는건가요?
반대로 궁금한게..
그럼 config 파일을 TRUE로 세팅하면 post의 두번째 파라메터 값을 넣지않아도 모든 변수가 xss 필터링 되는건가요?

만약 제가 짐작하는 궁금증이 맞다면..
xss 필터링이 오버헤드가 심하다고 하던데..
보통 config을 TRUE로 세팅을 해서 모든 변수를 필터링 하는지..
아니면 개별적으로 xss 필터링이 필요한곳만 두번째 파라메터에 TRUE을 넣어서 해당 데이터만 필터링 하는지 궁금합니다.

수고하세요 (__)
 다음글 폼전송 이거 버그인가요? (5)
 이전글 xss true 오류 문제.. (2)

댓글

변종원(웅파) / 2015/11/02 23:12:59 / 추천 0
둘중 하나인 겁니다.
config에 선언하면 무조건 모든 입력값에 적용이 되는 것이고
두번째 방식으로 사용하는 것은 원하는 부분에서만 xss clean을 적용하는 것입니다.

실무에서는 두번째 방식을 사용할 수 밖에 없습니다. (위지윅 에디터만 해도 스타일이나 색상 값들 다 날라갑니다.)
마기 / 2015/11/02 23:32:59 / 추천 0
아!! 웅파님의 시원한 답변 감사드립니다.
궁금증이 속시원히 해결됩니다!!

위지윅 에디터에 xss 필터링이 적용되면 값이 변경되어서 스타일, 색상 등등 값들이 바뀌어 버리나보네요..
그럼 만약 웹어플리케이션이 아닌 모바일앱 서버의 역할만 하는거면 첫번째 방식을 사용해도 괜찮겠네요.. 데이터만 필요로 할테니..
변종원(웅파) / 2015/11/02 23:47:49 / 추천 0
네. api서버라면 기본으로 적용해놓고 설정에 따라 적용하지 않게 하고 있습니다.
(codeigniter RESTful library 참고)