[펌] 자바스크립트 보안법입니다.
컨텐츠 정보
- 20,302 조회
- 51 추천
- 목록
본문
와이즈번 06-04-07 18:00
스크립트 보안방법 수정안입니다. ㅡㅡ;;
이정도면 쉽게 가져가기는 어려울듯 합니다.
<script language="javascript" type="text/javascript" src="script.php?key=<?=md5($_SERVER['REMOTE_PORT']."임이의문자열")?>"></script>
script.php 파일 내용은
------------------------------------------------------------------------------------------
<?php
// HTTP/1.1
header("Cache-Control: no-store, no-cache, must-revalidate");
// HTTP/1.0
header("Pragma: no-cache");
$key = $_GET['key'];
$auth_domain = array('허용할도메인');
$referer = parse_url($_SERVER['HTTP_REFERER']);
if(!in_array($referer['host'],$auth_domain) || $key != md5($_SERVER['REMOTE_PORT']."임이의문자열")) exit;
?>
document.write('쵝오!!');
---------------------------------------------------------------------------------------------
레퍼러를 조작한다고 하더라도 엔코딩된 리모트 포트번호와 스크립트에서의 리모트 포트번호가 동일해야 합니다.
포트번호는 리프레시나 연결이 바뀌면 번호가 변경될수도 있으며
포트번호라는걸 알고 md5 로 인코딩 하고 포트번호를 동일하게 맞춘다고 하더라도
임이의 문자열을 알아야 비교 가능합니다.
이정도면 처리되는 스크립트를 출력해주는 프로그램이 존재하지 않는한은 확인하기 어렵다고 생각합니다.
---------------------------------------------------------------------------
뭐, 어떻게 하더라도 http protocol 을 캡쳐하면 다 나오는거 아니겠습니까 --;
그저 장난치려는 사람들 좀 귀찮게 해보려고 하는거죠
http://www.httpdetect.com/
http://tamperdata.mozdev.org/
이런것들을 이용하면, 일단 http로 오가는것들은 다 보입니다.
스크립트 보안방법 수정안입니다. ㅡㅡ;;
이정도면 쉽게 가져가기는 어려울듯 합니다.
<script language="javascript" type="text/javascript" src="script.php?key=<?=md5($_SERVER['REMOTE_PORT']."임이의문자열")?>"></script>
script.php 파일 내용은
------------------------------------------------------------------------------------------
<?php
// HTTP/1.1
header("Cache-Control: no-store, no-cache, must-revalidate");
// HTTP/1.0
header("Pragma: no-cache");
$key = $_GET['key'];
$auth_domain = array('허용할도메인');
$referer = parse_url($_SERVER['HTTP_REFERER']);
if(!in_array($referer['host'],$auth_domain) || $key != md5($_SERVER['REMOTE_PORT']."임이의문자열")) exit;
?>
document.write('쵝오!!');
---------------------------------------------------------------------------------------------
레퍼러를 조작한다고 하더라도 엔코딩된 리모트 포트번호와 스크립트에서의 리모트 포트번호가 동일해야 합니다.
포트번호는 리프레시나 연결이 바뀌면 번호가 변경될수도 있으며
포트번호라는걸 알고 md5 로 인코딩 하고 포트번호를 동일하게 맞춘다고 하더라도
임이의 문자열을 알아야 비교 가능합니다.
이정도면 처리되는 스크립트를 출력해주는 프로그램이 존재하지 않는한은 확인하기 어렵다고 생각합니다.
---------------------------------------------------------------------------
뭐, 어떻게 하더라도 http protocol 을 캡쳐하면 다 나오는거 아니겠습니까 --;
그저 장난치려는 사람들 좀 귀찮게 해보려고 하는거죠
http://www.httpdetect.com/
http://tamperdata.mozdev.org/
이런것들을 이용하면, 일단 http로 오가는것들은 다 보입니다.
관련자료
-
링크
댓글 0
등록된 댓글이 없습니다.