블레이드 템플릿의 lang 지시어 보안패치

내가 자꾸 까먹어서 쓰는 개발 이야기/Laravel / / 2018. 9. 19. 14:14
728x90

https://github.com/laravel/framework/pull/25408#issuecomment-418123476


보안 관련 문제로 인해 블레이드 템플릿의 @lang 지시어가 패치되었다고 한다.


기존에는 @lang("main.welcome") 과 같이 사용하면 다국어 설정의 HTML 태그들이 렌더되어 출력되었는데,


최근 버전(정확한 버전은 모르고 개인적으로 5.5.42 부터 확인했음)에서는 태그들이 그대로 출력된다.


XSS 관련 이슈이며, 이후에도 롤백되지 않을것이라고 한다.


대안은 trans(or __) 함수로, {!! __("main.welcome") !!} 와 같이 사용해야 한다.



새로 배포한 사이트 메인에 태그가 다 보여서 개당황...


@lang으로 HTML포함된 문자열을 많이 가지고 있다면 당연히 전부 찾아서 바꿔줘야 한다.

저작자표시 비영리 변경금지

'내가 자꾸 까먹어서 쓰는 개발 이야기 > Laravel' 카테고리의 다른 글

사용자 Facade 만들어 phpstorm 에서 자동완성까지  (0) 2019.06.11
Laravel-mix로 webpack 사용하기  (0) 2018.10.02
Laravel 과 paypal 연동하기  (0) 2018.01.23
Phpstorm에서 Laravel의 mailchimp 플러그인 사용하기  (0) 2018.01.02
Laravel에서 gmail로 html 메일 보내기 (2019.5.10 내용추가)  (0) 2018.01.02
  • 네이버 블러그 공유하기
  • 네이버 밴드에 공유하기
  • 페이스북 공유하기
  • 카카오스토리 공유하기
내가 자꾸 까먹어서 쓰는 개발 이야기/Laravel 관련 글
글 더보기

티스토리툴바