Profile
이온디

2020.01.10

사용팁

[XE] 멀티도메인 사용시 관리자 로그인했을 때, '잘못된 요청입니다.' 메세지 출력되는 현상

조회 수 24 추천 수 0
링크 https://xe1.xpressengine.com/qna/23202184 
Code function checkCSRF()
{

return TRUE;

문제

xe 잘못된 요청입니다.

xe에서 멀티 도메인 사용시 관리자 로그인하면 위와 같은 메세지가 출력됨.


참조

https://xe1.xpressengine.com/qna/23202184

checkCSRF 함수 수정.

/haebiche/config/func.inc.php

파일에서 해당 함수 주석 처리함.



                

                               

몇주간 이 문제로 골머리를 썩다가 계속된 검색과 xe포럼의 글들을 조합하여 해결방법을 찾아냈습니다.

결정적인 실마리가 된 글은 https://www.xpressengine.com/forum/21620074 입니다.

기존에 기본 URL을 지정한 상태에서 멀티도메인 모듈을 적용하기 위해 기본 URL을 삭제할 경우 CSRF체크로 인해 '잘못된 요청입니다'라는 메세지가 출력되며 xe설정 및 모듈리스트를 불러올 수 없는 현상이 발생합니다.(캐시파일 재생성시에도 마찬가지로 기능이 동작하지 않습니다.)

그렇다고 CSRF를 무조건 true로 풀어버리면 보안 분제가 발생하겠죠.

다행히 라르게덴님의 멀티도메인 모듈도 CSRF기능을 지원하기 때문에 최초 등록된 URL 문제만 해결한다면 정상적으로 적용이 될 것이라는 생각이 들었습니다.

해결 방법은 이렇습니다.

 

먼저 xe설정에서 기본 URL을 삭제(혹은 files/config/db.config.php 에서 삭제) 후,

xe폴더의 config/func.inc.php 파일을 열어 코어 1.8.27 기준 1609행부터 시작되는 function checkCSRF() 아래줄을 수정해 줍니다.

-수정 전

function checkCSRF()
{
if($_SERVER['REQUEST_METHOD'] != 'POST')
{
return FALSE;
   }

    $default_url = Context::getDefaultUrl();
   $referer = $_SERVER["HTTP_REFERER"];

    if(strpos($default_url, 'xn--') !== FALSE && strpos($referer, 'xn--') === FALSE)
{
require_once(_XE_PATH_ . 'libs/idna_convert/idna_convert.class.php');
$IDN = new idna_convert(array('idn_version' => 2008));
$referer = $IDN->encode($referer);
   }

    $default_url = parse_url($default_url);
   $referer = parse_url($referer);

    $oModuleModel = getModel('module');
   $siteModuleInfo = $oModuleModel->getDefaultMid();

    if($siteModuleInfo->site_srl == 0)
{
if($default_url['host'] !== $referer['host'])
{
return FALSE;
}
}
else
{
$virtualSiteInfo = $oModuleModel->getSiteInfo($siteModuleInfo->site_srl);
if(strtolower($virtualSiteInfo->domain) != strtolower(Context::get('vid')) && !strstr(strtolower($virtualSiteInfo->domain), strtolower($referer['host'])))
{
return FALSE;
}
   }

    return TRUE;
}

 

-수정 후

function checkCSRF()
{

    return TRUE;
}

 

위와 같이 CSRF체크 부분을 삭제(혹은 주석처리 후) 관리자에서 캐시파일을 재생성하고 config/func.inc.php 파일을 원래대로 복구하면 기존의 기본 URL로 인해 멀티도메인 모듈을 사용할 수 없었던 문제가 해결됩니다.

 

이에 관한 정확한 해결방법이 검색을 통해 좀처럼 나오지 않아 다른분들에게도 도움이 되셨으면 하여 이렇게 남깁니다.

Profile
8
Lv
이온디

이온디 홈페이지는 간결하며,

 손쉽게 수정할 수 있습니다.

0개의 댓글

에디터
번호 제목 조회 수 추천 수 날짜
공지 [라이믹스] Another XE, 라이믹스 소개/설치하기 162 0 2019.01.09
공지 [XE소식] XE제작문의는 이온디 제작의뢰로 가주세요. 170 0 2018.12.10
공지 [사이트맵] XE/라이믹스 사이트맵 불편 기능을 알려주세요. 171 0 2017.09.23
382 [아이디어/건의] 제로원 용도 방안 41698 0 2008.07.22
381 [게시판 모듈] 낙장불입 시스템 20114 0 2008.08.01
380 [레이아웃 스킨] 플래닛의 모바일용 레이아웃 시안입니다. 1 12180 0 2010.12.08
379 [게시판 모듈] 태그 리스트 위젯 11305 0 2009.02.08
378 [위젯 스킨] 제 포인트 현황판 이쁘죠? ^^ 3 10943 0 2010.11.20
377 [게시판 모듈] 게시판EX 스킨을 만들어 봅니다. 10642 0 2010.02.01
376 [게시판 모듈] 포럼형 10606 0 2009.01.03
375 [게시판 모듈] 세진 게시판 메모장 스타일 수정하기 10592 0 2011.01.05
374 [궁금한점] 제로보드XE 다운받고 압축 푸는 방법 1 10423 0 2008.03.08
373 [궁금한점] XE 스킨 2 10354 0 2010.11.29
372 [궁금한점] 아토에 대해서요 3 3 10306 0 2011.05.28
371 [에디터컴포넌트 스킨] 미니위니플래시뮤직박스 에디터 컴포넌트 제작 설명입니다. 10209 0 2007.09.16
370 [게시판 모듈] 스킨변경사항 10026 0 2008.10.05
369 [궁금한점] XE에서 사이트검색 기능은 불가능한 건가요? 1 9494 0 2010.11.24
368 [게시판 모듈] 게시판 모듈 스킨 만들기(1) 9487 0 2008.07.31