バージョン選択

フォーラム

メニュー

オンライン状況

63 人のユーザが現在オンラインです。 (45 人のユーザが フォーラム を参照しています。)
登録ユーザ: 0
ゲスト: 63
もっと...

サイト内検索

質問 > 管理機能 > YouTube埋め込みコード入力後の登録でXSSエラー

管理機能

新規スレッドを追加する

スレッド表示 | 新しいものから 前のトピック | 次のトピック | 下へ
投稿者 スレッド
dipito
投稿日時: 2017/4/7 9:09
対応状況: 確認中
常連
登録日: 2016/9/2
居住地: Aichi
投稿: 41
YouTube埋め込みコード入力後の登録でXSSエラー
[EC-CUBE]2.13.5

管理画面の商品登録にて商品詳細にYouTubeの埋め込みコードを入力し
登録処理を行うとchromeがXSS警告を表示し登録完了しません。
Edgeでは問題なく登録出来ましたが、他のPCではEdgeでもエラーが出るそうです。
同様の問題が発生している方、原因が分かる方はいらっしゃいますでしょうか?
468
投稿日時: 2017/4/7 9:41
対応状況: −−−
登録日: 2008/10/26
居住地:
投稿: 3217
Re: YouTube埋め込みコード入力後の登録でXSSエラー
私の環境では、特に警告は表示されず、サーバへのリクエストは実行されましたが、ECCUBE側の入力チェックで
※ 詳細-メインコメントに許可されていないタグ [iframe], [iframe] が含まれています。
のエラーメッセージが表示されました。

具体的にどのような警告メッセージが表示されているのでしょうか?


----------------
株式会社シロハチ
■ECCUBE2系、3系構築カスタマイズご相談ください。
EC-CUBE3マニュアル
blog

dipito
投稿日時: 2017/4/7 11:26
対応状況: −−−
常連
登録日: 2016/9/2
居住地: Aichi
投稿: 41
Re: YouTube埋め込みコード入力後の登録でXSSエラー
回答ありがとうございます。

下記のようなメッセージが表示されます。
---

このページは動作していません
このページで通常と異なるコードを検出したため、個人情報(例: パスワード、電話番号、クレジット カード番号)を保護するために、ページをブロックしました。
サイトのホームページにアクセスしてみてください。
ERR_BLOCKED_BY_XSS_AUDITOR

468
投稿日時: 2017/4/7 11:47
対応状況: −−−
登録日: 2008/10/26
居住地:
投稿: 3217
Re: YouTube埋め込みコード入力後の登録でXSSエラー
表示されるメッセージで、ざっとググってみましたが、
chromeのhttps対応の関係でエラーメッセージが表示されるようになったみたいですね。

現状、chromeのバージョンをダウングレードするか、管理画面をhttpsに対応させる事で解消できるようです。
(ブラウザ側での設定項目などは無いようです)

私が検証した環境はhttpsの環境でした。


----------------
株式会社シロハチ
■ECCUBE2系、3系構築カスタマイズご相談ください。
EC-CUBE3マニュアル
blog

dipito
投稿日時: 2017/4/7 13:30
対応状況: −−−
常連
登録日: 2016/9/2
居住地: Aichi
投稿: 41
Re: YouTube埋め込みコード入力後の登録でXSSエラー
httpsでの接続でも発生します。
EC-CUBE側の処理の問題でしょうか…
回避方法が無さそうであれば、独自タグのような表記で入力して
テンプレート側で正規の埋め込みコードになるよう置換処理するといった事に必要になるのかなと検討しています。
468
投稿日時: 2017/4/10 9:39
対応状況: −−−
登録日: 2008/10/26
居住地:
投稿: 3217
Re: YouTube埋め込みコード入力後の登録でXSSエラー
色々知らべてみましたが、<iframe~>に反応するようです。
dipitoさんがおっしゃられる通り、独自表記で入力させる方法で回避するのが良さそうですね。
私の環境では現象が再現しないのでテストできませんが、
[iframe~]で入力して、後から[]を<>に置換するイメージでしょうか?


----------------
株式会社シロハチ
■ECCUBE2系、3系構築カスタマイズご相談ください。
EC-CUBE3マニュアル
blog

art_h
投稿日時: 2017/4/17 15:00
対応状況: −−−
新米
登録日: 2012/1/24
居住地:
投稿: 2
Re: YouTube埋め込みコード入力後の登録でXSSエラー
私の環境では管理画面をhttps化してもChrome(ver57)で同様のブロックが発生します。EC-CUBE側で何らかの修正が必要ではないでしょうか。
panpub
投稿日時: 2017/4/20 11:49
対応状況: −−−
新米
登録日: 2011/11/11
居住地:
投稿: 4
Re: YouTube埋め込みコード入力後の登録でXSSエラー
こんにちは。

Chrome ver57,58同様の症状が発生しましたので,共有させていただきます。#Edgeでは確認していません。

ブラウザを変更しない前提では,
根本的には,そろそろiframeを利用しないようにするのが良いと思いますが,一時的な対応としては
========================
商品編集画面(/admin/products/)に,.htaccessを置いて,
Header set X-XSS-Protection "0"
としてあげる(or PHP側でヘッダ吐かせる)感じにすると,ChromeのXSS_AUDITORがHTTPヘッダをみるので回避できると思います。

一般に,サーバー全体に
X-XSS-Protection "1; mode=block"
にするべきなので,推奨できるものではないと思いますけれども管理画面内ということで・・・。
========================

ググると,以下が参考になりそうです。ver57以降の現象のようですね。

http://ptech.g.hatena.ne.jp/noromanba/20170405/1491345491

http://stackoverflow.com/questions/43249998/chrome-err-blocked-by-xss-auditor-details#answer-43288333

http://www.ryadel.com/en/err_blocked_by_xss_auditor-error-google-chome-fix/



スレッド表示 | 新しいものから 前のトピック | 次のトピック | トップ


 



ログイン


EC-CUBE公式 Amazon Payプラグイン

統計情報

総メンバー数は88,280名です
総投稿数は109,687件です

投稿数ランキング

1
seasoft
7365
2
468
3217
3
AMUAMU
2712
4
nanasess
2303
5
umebius
2085
6
yuh
1818
7
h_tanaka
1610
8
red
1567
9
mcontact
1240
10
tsuji
958
11
fukap
907
12
shutta
835
13
tao_s
796
14 ramrun 789
15 karin 689
16 sumida 641
17
homan
633
18 DELIGHT 572
19
patapata
502
20
flealog
485


ネットショップの壺

EC-CUBEインテグレートパートナー

Copyright© EC-CUBE CO.,LTD. All Rights Reserved.