Русский OsCommerce

Здравствуйте, гость ( Вход | Регистрация )

 
Ответить в эту темуОткрыть новую тему
> Проблема в GoogleChrome с редактированием товаров и контента, Как решить эту проблему.
Fredi
сообщение 1.6.2017, 10:34
Сообщение #1


Админ
Иконка группы

Группа: Главные администраторы
Сообщений: 5 755
Регистрация: 24.4.2002
Из: Ашкелон
Пользователь №: 2
Откуда:Ashkelon, IL.



GOOGLE перестарался в заботе о безопасности.
Если в вашей Админке стоит визуальный редактор, то во время попытки сохранения отредактированного контента, выскакивает сообщение:

ERR_BLOCKED_BY_XSS_AUDITOR

перейдите на главную страницу сайта.


В результате у вас может слететь и потеряться даже старая информация, которую вы пытались редактировать.
Это дополнительная защита, встроенная в Гугл браузер последней версии, которая вроде как защищает ваш сайт от размещения вредоносного контента, но в то же время не дает нам с вами работать с нашим магазином.

Проверенное решение проблемы - отключение этой опции методом изменения файла /.htaccess в вашей Админке.

В конце файла admin/.htaccess добавьте строку

Код
# Protection against XSS (Cross-Site Scripting)
Header set X-XSS-Protection "0"


Это работает. Проверено на собственном магазине.
Вернуться в начало страницы
 
+Ответить с цитированием данного сообщения
Medreces
сообщение 4.6.2017, 0:59
Сообщение #2


Профи
Иконка группы

Группа: Kлуб OSC RU
Сообщений: 1 253
Регистрация: 18.6.2003
Из: Москва
Пользователь №: 318



Мне одному кажется, что это плохой совет?)))
Вернуться в начало страницы
 
+Ответить с цитированием данного сообщения
Fredi
сообщение 4.6.2017, 8:09
Сообщение #3


Админ
Иконка группы

Группа: Главные администраторы
Сообщений: 5 755
Регистрация: 24.4.2002
Из: Ашкелон
Пользователь №: 2
Откуда:Ashkelon, IL.



Добрый день Андрей!

Я не знаю, насколько это хорошее решение, но оно работает.

Если есть другие варианты, давайте предложения.
Вернуться в начало страницы
 
+Ответить с цитированием данного сообщения
a_berezin
сообщение 4.6.2017, 13:19
Сообщение #4


Профи
Иконка группы

Группа: Модератор
Сообщений: 9 692
Регистрация: 7.5.2004
Из: Санкт-Петербург
Пользователь №: 1 538



Андрей, привет!
Цитата(Medreces @ 4.6.2017, 1:59) *
Мне одному кажется, что это плохой совет?)))

Кто-бы спорил. Конечно существует опасность что хром пропустит не только "добросовестные" подозрительные данные, но и настоящую атаку.
Но что делать? Какие альтернативы?

1. Исправить баг в хромиум https://bugs.chromium.org/p/chromium/issues/detail?id=683798. Не реально проконтролировать.

2. Отменять защиту xss только на нужных страницах (редактирование товаров, категорий, инфо-страниц и т.д.).
Код
header('X-XSS-Protection: 0');

Но это такое половинчатое решение, всё равно существует опасность пропустить удар.

3. Ещё лучше и правильнее было бы передавать на сервер данные, которые не могли-бы рассматриваться бы как опасные, закодированные тем же base64, которые потом бы раскодировались на сервере в обычный html.
Для этого надо в html-редактор перед оправкой формы добавить jQuery.base64encode() на все html-поля формы, а на сервере при приёме данных раскодировать их base64decode().
Но заморачиваться с этим из-за бага в хромиум...

ИМХО. Я считаю, что вариант с X-XSS-Protection: 0 в htaccess вполне приемлим. Учитывая то, что эта отмена работает только в админе, а туда ещё попасть надо. В том смысле, что и адрес админки не известен и доступ к ней закрыт. А если адрес и доступ есть, то и XSS-Protection не поможет wink.gif
Сам недавно столкнулся с этим - на одном из магазинов у одного из манагеров была такая проблема.
Тоже решил быстро через .htaccess.

Только код в .htaccess надо использовать корректный:
Код
<IfModule mod_headers.c>
   Header set X-XSS-Protection "0"
</IfModule>
Вернуться в начало страницы
 
+Ответить с цитированием данного сообщения
Fredi
сообщение 4.6.2017, 16:06
Сообщение #5


Админ
Иконка группы

Группа: Главные администраторы
Сообщений: 5 755
Регистрация: 24.4.2002
Из: Ашкелон
Пользователь №: 2
Откуда:Ashkelon, IL.



Спасибо за корректировку.

Но немного непонятно, почему применено определение модуль - mod_headers.c ?
Вернуться в начало страницы
 
+Ответить с цитированием данного сообщения
Fredi
сообщение 4.6.2017, 16:08
Сообщение #6


Админ
Иконка группы

Группа: Главные администраторы
Сообщений: 5 755
Регистрация: 24.4.2002
Из: Ашкелон
Пользователь №: 2
Откуда:Ashkelon, IL.



Цитата(Medreces @ 4.6.2017, 1:59) *
Мне одному кажется, что это плохой совет?)))

Андрей, этот глюк только в последней версии Хрома. В принципе, можно зайти через любой другой браузер и проблемы уже как бы и нет.
Вернуться в начало страницы
 
+Ответить с цитированием данного сообщения
a_berezin
сообщение 4.6.2017, 16:26
Сообщение #7


Профи
Иконка группы

Группа: Модератор
Сообщений: 9 692
Регистрация: 7.5.2004
Из: Санкт-Петербург
Пользователь №: 1 538



Цитата(Fredi @ 4.6.2017, 17:06) *
Спасибо за корректировку.

Но немного непонятно, почему применено определение модуль - mod_headers.c ?


Потому что именно этот модуль mod_headers обрабатывает директиву Header и без этого модуля данная директива будет воспринята как ошибочная.

Кстати, если mod_headers не включен в ядро апача, а используется как внешний модуль, то правильна такая конструкция:
Код
<IfModule mod_headers.so>
    Header set X-XSS-Protection "0"
  </IfModule>
Вернуться в начало страницы
 
+Ответить с цитированием данного сообщения

Ответить в эту темуОткрыть новую тему

 



RSS Текстовая версия Сейчас: 12.12.2017, 21:53