ajax error views felületen

balazsgabi képe

Üdv Mindenkinek,

Olyan problémába futottam bele, hogy osztott tárhelyen történt egy kis "szigorítás" mod_security tekintetében, minek hatására bizonyos ajaxos hívások esetén hibaüzenetettel megáll az oldal. Eleinte Ajax 404 Error volt majd itt azt olvastam, hogy legyen egy 406.html és így nem kapok tiltást a mod_sec által. A fájl megléte után is van hiba, csak már azt kapom vissza amit beleírtam a 406.html-be.

A szerver logban az alábbi bejegyzés található:

Access denied with code 406 (phase 2). Pattern match "(?:\\b(?:(?:type\\b\\W*?\\b(?:text\\b\\W*?\\b(?:j(?:ava)?|ecma|vb)|application\\b\\W*?\\bx-(?:java|vb))script|c(?:opyparentfolder|reatetextrange)|get(?:special|parent)folder|iframe\\b.{0,100}?\\bsrc)\\b|on(?:(?:mo(?:use(?:o(?:ver|ut)|down|move|up)|ve)| ..." at ARGS_NAMES:ajax_page_state[js][sites/all/modules/jquery_update/replace/ui/external/jquery.cookie.js]. [file "/usr/local/apache/conf/modsec2.user.conf"] [line "118"] [id "1234123404"] [msg "Cross-site Scripting (XSS) Attack"] [data ".cookie"] [severity "CRITICAL"] [tag "WEB_ATTACK/XSS"]

Nyilván miattam nem kapcsolják ki ezt a modult (nem is szeretném) viszont szeretnék a végére járni, hogy mi lehet a baj. Miután a Jquery_update modult kikapcsoltam a kérdéses entityformon legalább már a "legördülő dátum" megjelent, de ugyanennél a formnál az ajaxos szűrés nem működik. E nélkül még tudnék élni, de a nagyobb gondom, hogy a Views admin felületén is minden egyes linkre (gondolom az ajax miatt) blokkolva van az oldal. Ha a JS-t kikapcsolom, akkor tudom a nézetek szerkeszteni, de ez így elég fapados és a végleges tökéletes megoldáshoz nem sok köze van.

Elég sok modul (50+) van az oldalon így nem szívesen mennék bele egy egyesével kikapcsolgatós tesztbe. Vannak olyan modulok ahol megy az ajax hívás (és érkezik rá válasz is :) de a Views esetében nem. Amelyik entityformnál is gond az szintén Views-os lista. Views 7.x-3.8 és csak a Views-os kéréseket blokkolja.

Ebben kérném a segítségeteket, hogy először is milyen infó kell ahhoz, hogy a végére lehessen járni, esetleg valaki találkozott-e ilyen problémával. Előre is köszönöm!

Melyik modulhoz, modulokhoz kapcsolódik a téma?: 
Drupal verzió: 
Fórum: 
balazsgabi képe

balazsgabi képe

Esetemben meglett a megoldás:

A mode security mint szerver oldali kiegészítő modul lehetőséget ad saját szabályok definiálására is, mellyel tovább növelhető a biztonság. A szolgáltatóm az ügyfelei érdekében bevezetett egy új szabályt, amit támadások kivédésére hoztak létre és ezt átírtak úgy, hogy a drupal is biztonságosan működhessen. Az ajax használatához a kódot a jQuery szállítja, a drupal "csak" átveszi és a közösség mindent megtesz, hogy a drupalos weboldalak a lehető legbiztonságosabban fussanak.

jquery.cookie.js incompatible with Apache mod_security by default

0
0
Gönczi Géza képe

Üdv!
Szervert cseréltünk, és az új szerveren a fent említett hibák jelentkeznek mind a Views modulban, mind a Panel-modulban. Létezik kizárólag kliens-oldali megoldás? A tárhelyszolgáltató ugyanis még nem tudta megoldani ezt a dolgot. Localhost-on egyébként tökéletesen működik, és a régi szerveren is működött az oldal...

0
0
szantog képe

Nem, sorry. :)

0
0

----
Rájöttem, miért kérdezek olyan ritkán a drupal.hu-n. Amíg szedem össze az infokat a kérdéshez, mindig rájövök a megoldásra.

Gönczi Géza képe

Arra van tippetek, hogy szerver-oldalon konkrétan mit kellene átírni a mod_security-ban, milyen szabályt? Lehetne posztolni a konkrét megoldást?
Köszönném

0
0
nevergone képe

Szia!

Az admin/config/development/performance oldalon a „JavaScript fájlok összegyűjtése.” be van kapcsolva?

Ha nincs, akkor légyszi kapcsold be és próbáld meg úgy is!

0
0
Gönczi Géza képe

A javascriptek összegyűjtésével már próbálkoztam, sajnos az én esetemben nem működik. Mindenesetre köszönöm a választ.

0
0