일전에 http://www.xpressengine.com/freeboard/21785718 이렇게 XE 1.7.3에서 아이프레임 태그 동작 테스트를 한적이 있습니다. 관리자 계정으로는 모든 도메인에서 iframe으로 불러올 수 있지만 관리자가 아닌 경우에는 유튜브 등 제한적인 사이트에만 허용이 되는데 정확히 어느 사이트가 허용되어있는지 알려지지 않고 화이트리스트 도메인을 추가할 방법을 몰라서 필요한 경우에도 사용이 힘든 문제가 있었습니다.

그러던 중 팁 게시판에 포럼 모듈 인용글 박스가 지워지는 문제를 해결한 글(http://www.xpressengine.com/tip/21816082)을 봤는데 iframe 등 HackTag를 제거하는 코드를 수정하더군요. 여기서 착안해서 해당 함수를 찾아보니 해결 방법을 찾게 되었습니다.

일단 관리자 계정이 아니라면 removeHackTag 함수를 이용해 iframe 등의 태그 내의 src 등의 부분을 제거하게 되어 있고 removeHackTag 함수는 /config/func.inc.php에 위치하고 있습니다.

removeHackTag 함수는 다시 /classes/security/EmbedFilter.class.php 이 파일에서 checkIframeTag 함수를 불러와 화이트 리스트에 있는 도메인인지를 확인하여 iframe 태그를 그대로 내보낼지를 결정하고 이 화이트 리스트를 정의해 놓은 파일은 /classes/security/conf/embedWhiteUrl.xml에 위치하고 있습니다. (캐시파일은 /files/cache/embedfilter/embedWhiteUrl.php)

따라서 /classes/security/conf/embedWhiteUrl.xml 파일을 열어보면 화이트리스트 도메인을 확인할 수 있고 

<domain name="http://(도메인)" desc="(설명)">

<pattern>(html, mms 등 주소)</pattern>

</domain>

형태로 iframe 등의 태그를 허용하는 화이트리스트 도메인을 추가할 수 있습니다. embed, object, param 태그 역시 동일합니다.

이를 모듈이나 애드온 형태로 제작해서 더 간단하게 관리 페이지를 통해 확인/추가할 수 있게 하면 더 좋지 않을까 합니다. (혹은 코어 자체에서 지원한다던가)