Html & Script

[펌] 자바스크립트 보안법입니다.

컨텐츠 정보

본문

  와이즈번  06-04-07 18:00 
스크립트 보안방법 수정안입니다. ㅡㅡ;;
이정도면 쉽게 가져가기는 어려울듯 합니다.


<script language="javascript" type="text/javascript" src="script.php?key=<?=md5($_SERVER['REMOTE_PORT']."임이의문자열")?>"></script>

script.php 파일 내용은
------------------------------------------------------------------------------------------
<?php
// HTTP/1.1
header("Cache-Control: no-store, no-cache, must-revalidate");
// HTTP/1.0
header("Pragma: no-cache");

$key = $_GET['key'];
$auth_domain = array('허용할도메인');
$referer = parse_url($_SERVER['HTTP_REFERER']);

if(!in_array($referer['host'],$auth_domain) || $key != md5($_SERVER['REMOTE_PORT']."임이의문자열")) exit;
?>
document.write('쵝오!!');
---------------------------------------------------------------------------------------------

레퍼러를 조작한다고 하더라도 엔코딩된 리모트 포트번호와 스크립트에서의 리모트 포트번호가 동일해야 합니다.
포트번호는 리프레시나 연결이 바뀌면 번호가 변경될수도 있으며
포트번호라는걸 알고 md5 로 인코딩 하고 포트번호를 동일하게 맞춘다고 하더라도
임이의 문자열을 알아야 비교 가능합니다.

이정도면 처리되는 스크립트를 출력해주는 프로그램이 존재하지 않는한은 확인하기 어렵다고 생각합니다. 



---------------------------------------------------------------------------
뭐, 어떻게 하더라도 http protocol 을 캡쳐하면 다 나오는거 아니겠습니까 --;
그저 장난치려는 사람들 좀 귀찮게 해보려고 하는거죠
http://www.httpdetect.com/
http://tamperdata.mozdev.org/
이런것들을 이용하면, 일단 http로 오가는것들은 다 보입니다.

관련자료

댓글 0
등록된 댓글이 없습니다.
Today's proverb
우리가 해야 할 큰 일은 먼데 있는 불명확한 것이 아니라 아주 가까이 있는 확실한 것이다. (T.칼라일)