Üdv Mindenkinek,
Olyan problémába futottam bele, hogy osztott tárhelyen történt egy kis "szigorítás" mod_security tekintetében, minek hatására bizonyos ajaxos hívások esetén hibaüzenetettel megáll az oldal. Eleinte Ajax 404 Error volt majd itt azt olvastam, hogy legyen egy 406.html és így nem kapok tiltást a mod_sec által. A fájl megléte után is van hiba, csak már azt kapom vissza amit beleírtam a 406.html-be.
A szerver logban az alábbi bejegyzés található:
Access denied with code 406 (phase 2). Pattern match "(?:\\b(?:(?:type\\b\\W*?\\b(?:text\\b\\W*?\\b(?:j(?:ava)?|ecma|vb)|application\\b\\W*?\\bx-(?:java|vb))script|c(?:opyparentfolder|reatetextrange)|get(?:special|parent)folder|iframe\\b.{0,100}?\\bsrc)\\b|on(?:(?:mo(?:use(?:o(?:ver|ut)|down|move|up)|ve)| ..." at ARGS_NAMES:ajax_page_state[js][sites/all/modules/jquery_update/replace/ui/external/jquery.cookie.js]. [file "/usr/local/apache/conf/modsec2.user.conf"] [line "118"] [id "1234123404"] [msg "Cross-site Scripting (XSS) Attack"] [data ".cookie"] [severity "CRITICAL"] [tag "WEB_ATTACK/XSS"]
Nyilván miattam nem kapcsolják ki ezt a modult (nem is szeretném) viszont szeretnék a végére járni, hogy mi lehet a baj. Miután a Jquery_update modult kikapcsoltam a kérdéses entityformon legalább már a "legördülő dátum" megjelent, de ugyanennél a formnál az ajaxos szűrés nem működik. E nélkül még tudnék élni, de a nagyobb gondom, hogy a Views admin felületén is minden egyes linkre (gondolom az ajax miatt) blokkolva van az oldal. Ha a JS-t kikapcsolom, akkor tudom a nézetek szerkeszteni, de ez így elég fapados és a végleges tökéletes megoldáshoz nem sok köze van.
Elég sok modul (50+) van az oldalon így nem szívesen mennék bele egy egyesével kikapcsolgatós tesztbe. Vannak olyan modulok ahol megy az ajax hívás (és érkezik rá válasz is :) de a Views esetében nem. Amelyik entityformnál is gond az szintén Views-os lista. Views 7.x-3.8 és csak a Views-os kéréseket blokkolja.
Ebben kérném a segítségeteket, hogy először is milyen infó kell ahhoz, hogy a végére lehessen járni, esetleg valaki találkozott-e ilyen problémával. Előre is köszönöm!
bocsánat ez hátha segíthttps:
bocsánat ez hátha segít
https://drive.google.com/file/d/0B3_RgRcDQy8SeGt2TGNmWHVCXzg/view?usp=sh...
mod security
Esetemben meglett a megoldás:
A mode security mint szerver oldali kiegészítő modul lehetőséget ad saját szabályok definiálására is, mellyel tovább növelhető a biztonság. A szolgáltatóm az ügyfelei érdekében bevezetett egy új szabályt, amit támadások kivédésére hoztak létre és ezt átírtak úgy, hogy a drupal is biztonságosan működhessen. Az ajax használatához a kódot a jQuery szállítja, a drupal "csak" átveszi és a közösség mindent megtesz, hogy a drupalos weboldalak a lehető legbiztonságosabban fussanak.
jquery.cookie.js incompatible with Apache mod_security by default
AJAX hiba új szerveren
Üdv!
Szervert cseréltünk, és az új szerveren a fent említett hibák jelentkeznek mind a Views modulban, mind a Panel-modulban. Létezik kizárólag kliens-oldali megoldás? A tárhelyszolgáltató ugyanis még nem tudta megoldani ezt a dolgot. Localhost-on egyébként tökéletesen működik, és a régi szerveren is működött az oldal...
Létezik kizárólag kliens-oldali megoldás?
Nem, sorry. :)
----
Rájöttem, miért kérdezek olyan ritkán a drupal.hu-n. Amíg szedem össze az infokat a kérdéshez, mindig rájövök a megoldásra.
És szerver-oldalon?
Arra van tippetek, hogy szerver-oldalon konkrétan mit kellene átírni a mod_security-ban, milyen szabályt? Lehetne posztolni a konkrét megoldást?
Köszönném
admin/config/development/performance
Szia!
Az admin/config/development/performance oldalon a „JavaScript fájlok összegyűjtése.” be van kapcsolva?
Ha nincs, akkor légyszi kapcsold be és próbáld meg úgy is!
Választ szeretnél? - Új kérdés, új téma - Tesztoldal - Trollkezelés - Frissítés
A javascriptek
A javascriptek összegyűjtésével már próbálkoztam, sajnos az én esetemben nem működik. Mindenesetre köszönöm a választ.