반응형
CK에디터에서 XSS취약점을 이용하여 본문에 위와 같은 태그값을 전송하면
스크립트가 작동한다.
웹 브라우저 콘솔에서 CK에디터의 설정값을 봐보면 removeFormatTags라고 특정 태그의 값은 삭제해주는 기능이 있다.
저기다가 svg를 추가해주면 svg로 시작하는 구문은 작동안한다.
ckeditor.js파일에 가보면 removeFormatTags라는 부분이 있다.
이곳에 svg를 추가해주면 된다.
반응형
'JS' 카테고리의 다른 글
| javascript 편리한 null 확인 optional chaining (0) | 2021.08.17 |
|---|---|
| javascript 링크 주소의 parameter split해서 class값 주기 (0) | 2018.09.14 |
| CK에디터 버전정보 확인 기능 비활성화 (0) | 2018.08.14 |