템플릿 보안 향상을 위한 auto-escape 적용 범위 확대

#2300 이슈에 더해 추가 개선을 적용합니다.

• 제외되었던 레이아웃 편집기 등에서 PHP 코드 사용 제한
  • PHP 코드가 포함되면 요청이 거부되며, 변경사항을 잃을 수 있습니다
  • 위지윅 에디터를 통한 글쓰기에는 제한되지 않습니다
• URL 요청 시 parameter에 script 등의 태그 사용 제한
  • 일반적으로 영향이 없으나, 특정 플러그인에 따라 링크 또는 주소창에 보여지는 항목에 HTML 태그가 사용되면 제한됩니다
• XE 1 배포본에 포함된 모듈, 레이아웃, 스킨에서 화면에 출력하는 사용자 입력 값 중에 HTML 태그가 포함되면 태그가 적용되지 않고 일반 문자열로 표시됩니다
  • 배포본에 포함된 항목에만 적용되며, 배포본에 포함된 파일을 수정하여 특정 값을 출력하는 경우 영향을 받을 수도 있습니다
  • 예) 메뉴 설명에 HTML을 입력하고, 배포본에 포함된 XEDITION 레이아웃에 메뉴 설명(HTML)을 출력하는 경우
  • 이 사항은 배포본에 포함된 파일을 대상으로하지만, 추후 업데이트에서 플러그인 제작자 또는 사이트 운영자가 선택적으로 이러한 보안 옵션을 사용할 수 있는 기능이 추가될 수 있습니다

템플릿 필터 사용법

@kijin님의 코드로부터 기인한 템플릿 필터 기능이 추가되었으며, 이 기능이 템플릿 보안 향상의 역할을 합니다.

출력 값에 대한 escape 필터를 적용할 수 있으며, 사용 방법은 아래와 같습니다.
escape 필터는 htmlspecialchars() 함수를 사용하는 간소화된 방법입니다.

escape 필터의 종류

• escape : 출력되는 결과물에 htmlspecialchars()가 적용되며, double_encode 옵션은 true입니다
  • 일반적으로 사용되지 않을 수 있으며, textarea 필드에 출력될 값이 대상이 될 수 있습니다
• autoescape : 출력되는 결과물에 htmlspecialchars()가 적용되며, double_encode 옵션은 false입니다
  • HTML이 적용되지 않아야 할 항목에 사용
• noescape : 별도 처리하지 않고 그대로 출력합니다
  • HTML을 적용해야 할 항목에 사용

각 필터는 아래 <config>를 이용한 일괄 설정에 대한 필터를 개별 항목에 덮어 쓸 수 있습니다.

escape 적용

HTML 템플릿 파일 상단에 아래와 같이 명시하여, 해당 파일에서 출력하는 모든 값에 autoescape 필터를 적용할 수 있습니다.

<config autoescape="on" />

템플릿 전체에 적용하지 않고 일부 출력 값에 적용은 아래와 같습니다.

<div class="content">
  {$content|autoescape}
</div>

이 두 방법을 혼용하여, 필터를 덮어 쓰면 아래와 같이 동작합니다.

<!-- 해당 템플릿 파일 전체에 autoescape 필터 적용 -->
<config autoescape="on" />

<div class="content">
  <!-- autoescape 필터 적용 -->
  <!--
  	$content = '<strong>내용</strong>'
  		-> '&lt;strong&gt;내용&lt;/strong&gt;'
  	$content = '홈 &gt; 게시판'
  		-> '홈 &gt; 게시판' // 변경 없음
  -->
  {$content|autoescape}

  <!-- double_encode=true인 escape 필터 적용 -->
  <!--
  	$content = '&lt;strong&gt;내용&lt;/strong&gt;'
  		-> '&amp;lt;strong&amp;gt;내용&amp;lt;/strong&amp;gt;' // double_encode
  	$content = '홈 &gt; 게시판'
  		-> '홈 &amp;gt; 게시판' // double_encode
  -->
  {$content|escape}

  <!-- escape 필터를 적용하지 않음 -->
  <!--
  	$content = '<strong>내용</strong>'
  		-> '<strong>내용</strong>' // 변경 없음
  	$content = '홈 &gt; 게시판'
  		-> '홈 &gt; 게시판' // 변경 없음
  -->
  {$content|noescape} 
</div>

아래와 같이 공백이 포함되지 않도록 주의해야 합니다(아래와 같은 사항은 무시되며, 오류가 발생할 수 있습니다).

• {$content | noescape}
• {$content| noescape}
• {$content |noescape}

즉, pipe 문자(|) 앞 뒤에는 공백이 포함되지 않아야 합니다.

---

이 변경 사항은 최초 안내한 것처럼 '모든 템플릿 파일'을 대상으로 했던 것과 다르게, XE 1 배포본에 포함돈 파일을 대상으로 합니다.

• 내장 모듈의 template 파일에 대한 autoescape 기본 활성화
  • modules/**/tpl/**/*.html
  • common/tpl/*.html
• 설치 시 위 대상을 포함한 전체 템플릿에 대해 autoescape 기본 활성화
  • files/db.config.php 파일에서 'safeguard' 값을 'N'을 변경하여 비활성화 가능
• getUrl() 등 알려진 함수 및 주요 변수들에 대해 escape 지정 해제
  • 해당 템플릿 코드에서 명시적으로 재지정 가능

[kijin]

허허... 일이 커지네요 ㄷㄷㄷ

예전에 Object를 BaseObject로 변경할 때 삼항식을 사용해서 구버전, 신버전 모두 호환되도록 하는 방법을 알려주었듯이, 이것도 1.9 이하 버전과 1.11 이상 버전에서 모두 호환되는 서드파티 자료를 만드는 방법을 미리 공지하셔야 할 것 같습니다.

예를 들어 escape하지 않아야 하는 변수가 있다면 상단에 <config autoescape="off" /> 태그를 넣거나 {$var|noescpae}로 표현해야 하는데, 이런 템플릿을 구버전에서 사용하면 전자는 엉뚱한 태그가 출력될 수 있고, 후자는 | 문자를 bitwise OR로 해석하여 엉망이 될 수도 있거든요.

@kijin 개발자나 사이트 운영자가 가질 선택의 문제가 되겠네요.
1.11 버전을 기준으로 선택하거나, 분기하거나, safeguard 옵션을 끄도록 안내하거나.

말씀하신 문제에 대해서는 관련 공지 게시물에 추가 해두겠습니다.

[bjrambo]

@bnu XE코어가 현재까지 오게 될 수 있었던 것은 그래도 기존의 XE 1.4~1.8시절동안 만들어진 모듈들과 레이아웃 디자인 등등이 있어 왔기 때문에 현재까지 유지가 가능했어요.

적어도 호환성에 문제가 된다면 1.11버전기준으로 각 버전이 분리되면서 1.11 버전에 이 이슈에 적힌 내용들이 적용이 된다면 사용자 운영진 입장에서는 1.11을 선택할 메리트는 없어질 것 같습니다.

현재 만들어진 자료중에 유지보수가 더 이상 되지 않는 모듈들이 90퍼센트 이상 방치 되어있다는 가정하에 있다면 정작 PHP7.2이슈를 해결할 BaseObject이슈를 해결하지 못한 서드파티들도 XE자료실에서 반이상일텐데.. 이러한 자료들을 하나하나 찾아가면서 XE팀에서 호환성을 유지하기 위해 고쳐주지 않는다면 기존의 이용자 입장이나 신규 이용자 입장이나 더 이상 패치를 올릴 의미가 사라질 수 있다는 것입니다.

기존의 서드파티중 보안의 취약점에 걸리지가 않는다면 호환성이 완벽하게 보장된다는 가정하에 기능을 추가해야하는 방향이 맞는 것 같아요. :)

오픈소스방향으로 나아가는 XE인만큼 사용자의 편의성도 조금 생각해주시면 감사하겠습니다 (_ _ )

@bjrambo safeguard 값을 'N'으로 변경할 수 있는 선택 사항이 있습니다.
이 값을 변경하기 쉽도록 설정 페이지 내에 제공할 예정입니다.

ps. 이러한 변경은 사용자나 개발자를 힘들게 하기 위함도 아니며, XE3로 사용자를 유도하고자 위함도 아니며, 추측할 수 있는 사이트 운영자 또는 개발자를 포함하는 저희 외의 그 어떤 사람에게 영향을 끼칠 어떠한 불합리적인 목적도 가지고 있지 않습니다.

보안 향상을 위한 목적만을 가지며, 비록 호환성 문제를 발생 시킬 수 있으나 사용자가 선택할 수 있는 옵션을 제공하고 있고, 업데이트 사용자는 이 변경 사항을 즉시 적용받지않고 선택에 따라 켤 수 있도록 했습니다.
safeguard off 상태에서도 코어에서도 문제는 계속 발견될 수 있으나, 계속해서 잡아가고 있습니다.

저희의 결정이 모두 올바르지 않을 수 있으며, 죄송하게도 사이트 운영에 막대한 영향을 줄 수 있는 결정이 포함될 수도 있습니다. 다만, 이러한 결정은 더 나은 것을 위한 목적을 가지며, 저희는 그 어떤 이도 괴롭히고 싶지 않으며, 등 떠밀어 떠나가라 말하는 것도 아닙니다.

비록, 업데이트 시 안전장치는 허술하나 사용자는 선택할 수 있습니다.