バージョン選択

フォーラム

メニュー

オンライン状況

27 人のユーザが現在オンラインです。 (18 人のユーザが フォーラム を参照しています。)
登録ユーザ: 0
ゲスト: 27
もっと...

PR

デザインテンプレート EC-CUBE3.0版が登場!
広告掲載について

サイト内検索

質問 > 管理機能 > YouTube埋め込みコード入力後の登録でXSSエラー

管理機能

新規スレッドを追加する

スレッド表示 | 新しいものから 前のトピック | 次のトピック | 下へ
投稿者 スレッド
dipito
投稿日時: 2017/4/7 9:09
対応状況: 確認中
半人前
登録日: 2016/9/2
居住地: Aichi
投稿: 25
YouTube埋め込みコード入力後の登録でXSSエラー
[EC-CUBE]2.13.5

管理画面の商品登録にて商品詳細にYouTubeの埋め込みコードを入力し
登録処理を行うとchromeがXSS警告を表示し登録完了しません。
Edgeでは問題なく登録出来ましたが、他のPCではEdgeでもエラーが出るそうです。
同様の問題が発生している方、原因が分かる方はいらっしゃいますでしょうか?
468
投稿日時: 2017/4/7 9:41
対応状況: −−−
仙人
登録日: 2008/10/26
居住地:
投稿: 464
Re: YouTube埋め込みコード入力後の登録でXSSエラー
私の環境では、特に警告は表示されず、サーバへのリクエストは実行されましたが、ECCUBE側の入力チェックで
※ 詳細-メインコメントに許可されていないタグ [iframe], [iframe] が含まれています。
のエラーメッセージが表示されました。

具体的にどのような警告メッセージが表示されているのでしょうか?


----------------
株式会社シロハチ
■ECCUBE2系、3系構築カスタマイズご相談ください。
■360°画像ビューワーimg360
■ECCUBE技術資料blog

dipito
投稿日時: 2017/4/7 11:26
対応状況: −−−
半人前
登録日: 2016/9/2
居住地: Aichi
投稿: 25
Re: YouTube埋め込みコード入力後の登録でXSSエラー
回答ありがとうございます。

下記のようなメッセージが表示されます。
---

このページは動作していません
このページで通常と異なるコードを検出したため、個人情報(例: パスワード、電話番号、クレジット カード番号)を保護するために、ページをブロックしました。
サイトのホームページにアクセスしてみてください。
ERR_BLOCKED_BY_XSS_AUDITOR

468
投稿日時: 2017/4/7 11:47
対応状況: −−−
仙人
登録日: 2008/10/26
居住地:
投稿: 464
Re: YouTube埋め込みコード入力後の登録でXSSエラー
表示されるメッセージで、ざっとググってみましたが、
chromeのhttps対応の関係でエラーメッセージが表示されるようになったみたいですね。

現状、chromeのバージョンをダウングレードするか、管理画面をhttpsに対応させる事で解消できるようです。
(ブラウザ側での設定項目などは無いようです)

私が検証した環境はhttpsの環境でした。


----------------
株式会社シロハチ
■ECCUBE2系、3系構築カスタマイズご相談ください。
■360°画像ビューワーimg360
■ECCUBE技術資料blog

dipito
投稿日時: 2017/4/7 13:30
対応状況: −−−
半人前
登録日: 2016/9/2
居住地: Aichi
投稿: 25
Re: YouTube埋め込みコード入力後の登録でXSSエラー
httpsでの接続でも発生します。
EC-CUBE側の処理の問題でしょうか…
回避方法が無さそうであれば、独自タグのような表記で入力して
テンプレート側で正規の埋め込みコードになるよう置換処理するといった事に必要になるのかなと検討しています。
468
投稿日時: 2017/4/10 9:39
対応状況: −−−
仙人
登録日: 2008/10/26
居住地:
投稿: 464
Re: YouTube埋め込みコード入力後の登録でXSSエラー
色々知らべてみましたが、<iframe~>に反応するようです。
dipitoさんがおっしゃられる通り、独自表記で入力させる方法で回避するのが良さそうですね。
私の環境では現象が再現しないのでテストできませんが、
[iframe~]で入力して、後から[]を<>に置換するイメージでしょうか?


----------------
株式会社シロハチ
■ECCUBE2系、3系構築カスタマイズご相談ください。
■360°画像ビューワーimg360
■ECCUBE技術資料blog

art_h
投稿日時: 2017/4/17 15:00
対応状況: −−−
新米
登録日: 2012/1/24
居住地:
投稿: 2
Re: YouTube埋め込みコード入力後の登録でXSSエラー
私の環境では管理画面をhttps化してもChrome(ver57)で同様のブロックが発生します。EC-CUBE側で何らかの修正が必要ではないでしょうか。
panpub
投稿日時: 2017/4/20 11:49
対応状況: −−−
新米
登録日: 2011/11/11
居住地:
投稿: 4
Re: YouTube埋め込みコード入力後の登録でXSSエラー
こんにちは。

Chrome ver57,58同様の症状が発生しましたので,共有させていただきます。#Edgeでは確認していません。

ブラウザを変更しない前提では,
根本的には,そろそろiframeを利用しないようにするのが良いと思いますが,一時的な対応としては
========================
商品編集画面(/admin/products/)に,.htaccessを置いて,
Header set X-XSS-Protection "0"
としてあげる(or PHP側でヘッダ吐かせる)感じにすると,ChromeのXSS_AUDITORがHTTPヘッダをみるので回避できると思います。

一般に,サーバー全体に
X-XSS-Protection "1; mode=block"
にするべきなので,推奨できるものではないと思いますけれども管理画面内ということで・・・。
========================

ググると,以下が参考になりそうです。ver57以降の現象のようですね。

http://ptech.g.hatena.ne.jp/noromanba/20170405/1491345491

http://stackoverflow.com/questions/43249998/chrome-err-blocked-by-xss-auditor-details#answer-43288333

http://www.ryadel.com/en/err_blocked_by_xss_auditor-error-google-chome-fix/



スレッド表示 | 新しいものから 前のトピック | 次のトピック | トップ

 



ログイン


EC-CUBEガイドブック

統計情報

総メンバー数は19,256名です
総投稿数は80,659件です

投稿数ランキング

1
seasoft
7331
2
AMUAMU
2712
3
nanasess
1619
4
yuh
1317
5
red
1041
6
fukap
907
7
shutta
827
8 ramrun 789
9
tsuji
778
10
tao_s
646


ネットショップの壺

EC-CUBEガイドブック
Copyright© LOCKON CO.,LTD. All Rights Reserved.