バージョン選択

フォーラム

メニュー

オンライン状況

79 人のユーザが現在オンラインです。 (69 人のユーザが フォーラム を参照しています。)
登録ユーザ: 1
ゲスト: 78
k-yamamura もっと...

PR

デザインテンプレート EC-CUBE3.0版が登場!
広告掲載について

サイト内検索

質問 > 管理機能 > YouTube埋め込みコード入力後の登録でXSSエラー

管理機能

新規スレッドを追加する

スレッド表示 | 新しいものから 前のトピック | 次のトピック | 下へ
投稿者 スレッド
dipito
投稿日時: 2017/4/7 9:09
対応状況: 確認中
半人前
登録日: 2016/9/2
居住地: Aichi
投稿: 25
YouTube埋め込みコード入力後の登録でXSSエラー
[EC-CUBE]2.13.5

管理画面の商品登録にて商品詳細にYouTubeの埋め込みコードを入力し
登録処理を行うとchromeがXSS警告を表示し登録完了しません。
Edgeでは問題なく登録出来ましたが、他のPCではEdgeでもエラーが出るそうです。
同様の問題が発生している方、原因が分かる方はいらっしゃいますでしょうか?
468
投稿日時: 2017/4/7 9:41
対応状況: −−−
仙人
登録日: 2008/10/26
居住地:
投稿: 630
Re: YouTube埋め込みコード入力後の登録でXSSエラー
私の環境では、特に警告は表示されず、サーバへのリクエストは実行されましたが、ECCUBE側の入力チェックで
※ 詳細-メインコメントに許可されていないタグ [iframe], [iframe] が含まれています。
のエラーメッセージが表示されました。

具体的にどのような警告メッセージが表示されているのでしょうか?


----------------
株式会社シロハチ
■ECCUBE2系、3系構築カスタマイズご相談ください。
EC-CUBE3マニュアル
blog

dipito
投稿日時: 2017/4/7 11:26
対応状況: −−−
半人前
登録日: 2016/9/2
居住地: Aichi
投稿: 25
Re: YouTube埋め込みコード入力後の登録でXSSエラー
回答ありがとうございます。

下記のようなメッセージが表示されます。
---

このページは動作していません
このページで通常と異なるコードを検出したため、個人情報(例: パスワード、電話番号、クレジット カード番号)を保護するために、ページをブロックしました。
サイトのホームページにアクセスしてみてください。
ERR_BLOCKED_BY_XSS_AUDITOR

468
投稿日時: 2017/4/7 11:47
対応状況: −−−
仙人
登録日: 2008/10/26
居住地:
投稿: 630
Re: YouTube埋め込みコード入力後の登録でXSSエラー
表示されるメッセージで、ざっとググってみましたが、
chromeのhttps対応の関係でエラーメッセージが表示されるようになったみたいですね。

現状、chromeのバージョンをダウングレードするか、管理画面をhttpsに対応させる事で解消できるようです。
(ブラウザ側での設定項目などは無いようです)

私が検証した環境はhttpsの環境でした。


----------------
株式会社シロハチ
■ECCUBE2系、3系構築カスタマイズご相談ください。
EC-CUBE3マニュアル
blog

dipito
投稿日時: 2017/4/7 13:30
対応状況: −−−
半人前
登録日: 2016/9/2
居住地: Aichi
投稿: 25
Re: YouTube埋め込みコード入力後の登録でXSSエラー
httpsでの接続でも発生します。
EC-CUBE側の処理の問題でしょうか…
回避方法が無さそうであれば、独自タグのような表記で入力して
テンプレート側で正規の埋め込みコードになるよう置換処理するといった事に必要になるのかなと検討しています。
468
投稿日時: 2017/4/10 9:39
対応状況: −−−
仙人
登録日: 2008/10/26
居住地:
投稿: 630
Re: YouTube埋め込みコード入力後の登録でXSSエラー
色々知らべてみましたが、<iframe~>に反応するようです。
dipitoさんがおっしゃられる通り、独自表記で入力させる方法で回避するのが良さそうですね。
私の環境では現象が再現しないのでテストできませんが、
[iframe~]で入力して、後から[]を<>に置換するイメージでしょうか?


----------------
株式会社シロハチ
■ECCUBE2系、3系構築カスタマイズご相談ください。
EC-CUBE3マニュアル
blog

art_h
投稿日時: 2017/4/17 15:00
対応状況: −−−
新米
登録日: 2012/1/24
居住地:
投稿: 2
Re: YouTube埋め込みコード入力後の登録でXSSエラー
私の環境では管理画面をhttps化してもChrome(ver57)で同様のブロックが発生します。EC-CUBE側で何らかの修正が必要ではないでしょうか。
panpub
投稿日時: 2017/4/20 11:49
対応状況: −−−
新米
登録日: 2011/11/11
居住地:
投稿: 4
Re: YouTube埋め込みコード入力後の登録でXSSエラー
こんにちは。

Chrome ver57,58同様の症状が発生しましたので,共有させていただきます。#Edgeでは確認していません。

ブラウザを変更しない前提では,
根本的には,そろそろiframeを利用しないようにするのが良いと思いますが,一時的な対応としては
========================
商品編集画面(/admin/products/)に,.htaccessを置いて,
Header set X-XSS-Protection "0"
としてあげる(or PHP側でヘッダ吐かせる)感じにすると,ChromeのXSS_AUDITORがHTTPヘッダをみるので回避できると思います。

一般に,サーバー全体に
X-XSS-Protection "1; mode=block"
にするべきなので,推奨できるものではないと思いますけれども管理画面内ということで・・・。
========================

ググると,以下が参考になりそうです。ver57以降の現象のようですね。

http://ptech.g.hatena.ne.jp/noromanba/20170405/1491345491

http://stackoverflow.com/questions/43249998/chrome-err-blocked-by-xss-auditor-details#answer-43288333

http://www.ryadel.com/en/err_blocked_by_xss_auditor-error-google-chome-fix/



スレッド表示 | 新しいものから 前のトピック | 次のトピック | トップ

 



ログイン


EC-CUBEペイメント

クレジットカード情報の非保持化対応

統計情報

総メンバー数は19,734名です
総投稿数は82,436件です

投稿数ランキング

1
seasoft
7331
2
AMUAMU
2712
3
nanasess
1632
4
yuh
1387
5
red
1063
6
fukap
907
7
shutta
827
8 ramrun 789
9
tsuji
784
10
umebius
712
11
tao_s
651
12 sumida 638
13
homan
633
14
468
630
15 karin 609
16 DELIGHT 571
17
patapata
502
18
flealog
483
19 tonton 436
20
ecbg
387


ネットショップの壺

EC-CUBEガイドブック
Copyright© LOCKON CO.,LTD. All Rights Reserved.