質問 > 管理機能 > YouTube埋め込みコード入力後の登録でXSSエラー |
管理機能
スレッド表示 | 新しいものから | 前のトピック | 次のトピック | 下へ |
投稿者 | スレッド |
---|---|
dipito |
投稿日時: 2017/4/7 9:09
対応状況: 確認中
|
常連 登録日: 2016/9/2 居住地: Aichi 投稿: 41 |
YouTube埋め込みコード入力後の登録でXSSエラー [EC-CUBE]2.13.5
管理画面の商品登録にて商品詳細にYouTubeの埋め込みコードを入力し 登録処理を行うとchromeがXSS警告を表示し登録完了しません。 Edgeでは問題なく登録出来ましたが、他のPCではEdgeでもエラーが出るそうです。 同様の問題が発生している方、原因が分かる方はいらっしゃいますでしょうか? |
468 |
投稿日時: 2017/4/7 9:41
対応状況: −−−
|
神 登録日: 2008/10/26 居住地: 投稿: 3217 |
Re: YouTube埋め込みコード入力後の登録でXSSエラー 私の環境では、特に警告は表示されず、サーバへのリクエストは実行されましたが、ECCUBE側の入力チェックで
※ 詳細-メインコメントに許可されていないタグ [iframe], [iframe] が含まれています。 のエラーメッセージが表示されました。 具体的にどのような警告メッセージが表示されているのでしょうか?
|
dipito |
投稿日時: 2017/4/7 11:26
対応状況: −−−
|
常連 登録日: 2016/9/2 居住地: Aichi 投稿: 41 |
Re: YouTube埋め込みコード入力後の登録でXSSエラー 回答ありがとうございます。
下記のようなメッセージが表示されます。 --- このページは動作していません このページで通常と異なるコードを検出したため、個人情報(例: パスワード、電話番号、クレジット カード番号)を保護するために、ページをブロックしました。 サイトのホームページにアクセスしてみてください。 ERR_BLOCKED_BY_XSS_AUDITOR |
468 |
投稿日時: 2017/4/7 11:47
対応状況: −−−
|
神 登録日: 2008/10/26 居住地: 投稿: 3217 |
Re: YouTube埋め込みコード入力後の登録でXSSエラー 表示されるメッセージで、ざっとググってみましたが、
chromeのhttps対応の関係でエラーメッセージが表示されるようになったみたいですね。 現状、chromeのバージョンをダウングレードするか、管理画面をhttpsに対応させる事で解消できるようです。 (ブラウザ側での設定項目などは無いようです) 私が検証した環境はhttpsの環境でした。
|
dipito |
投稿日時: 2017/4/7 13:30
対応状況: −−−
|
常連 登録日: 2016/9/2 居住地: Aichi 投稿: 41 |
Re: YouTube埋め込みコード入力後の登録でXSSエラー httpsでの接続でも発生します。
EC-CUBE側の処理の問題でしょうか… 回避方法が無さそうであれば、独自タグのような表記で入力して テンプレート側で正規の埋め込みコードになるよう置換処理するといった事に必要になるのかなと検討しています。 |
468 |
投稿日時: 2017/4/10 9:39
対応状況: −−−
|
神 登録日: 2008/10/26 居住地: 投稿: 3217 |
Re: YouTube埋め込みコード入力後の登録でXSSエラー 色々知らべてみましたが、<iframe~>に反応するようです。
dipitoさんがおっしゃられる通り、独自表記で入力させる方法で回避するのが良さそうですね。 私の環境では現象が再現しないのでテストできませんが、 [iframe~]で入力して、後から[]を<>に置換するイメージでしょうか?
|
art_h |
投稿日時: 2017/4/17 15:00
対応状況: −−−
|
新米 登録日: 2012/1/24 居住地: 投稿: 2 |
Re: YouTube埋め込みコード入力後の登録でXSSエラー 私の環境では管理画面をhttps化してもChrome(ver57)で同様のブロックが発生します。EC-CUBE側で何らかの修正が必要ではないでしょうか。
|
panpub |
投稿日時: 2017/4/20 11:49
対応状況: −−−
|
新米 登録日: 2011/11/11 居住地: 投稿: 4 |
Re: YouTube埋め込みコード入力後の登録でXSSエラー こんにちは。
Chrome ver57,58同様の症状が発生しましたので,共有させていただきます。#Edgeでは確認していません。 ブラウザを変更しない前提では, 根本的には,そろそろiframeを利用しないようにするのが良いと思いますが,一時的な対応としては ======================== 商品編集画面(/admin/products/)に,.htaccessを置いて, Header set X-XSS-Protection "0" としてあげる(or PHP側でヘッダ吐かせる)感じにすると,ChromeのXSS_AUDITORがHTTPヘッダをみるので回避できると思います。 一般に,サーバー全体に X-XSS-Protection "1; mode=block" にするべきなので,推奨できるものではないと思いますけれども管理画面内ということで・・・。 ======================== ググると,以下が参考になりそうです。ver57以降の現象のようですね。 http://ptech.g.hatena.ne.jp/noromanba/20170405/1491345491 http://stackoverflow.com/questions/43249998/chrome-err-blocked-by-xss-auditor-details#answer-43288333 http://www.ryadel.com/en/err_blocked_by_xss_auditor-error-google-chome-fix/ |
スレッド表示 | 新しいものから | 前のトピック | 次のトピック | トップ |