Загрузка…
Всем привет! Недавно столкнулся с такой проблемой в Сs-Cart. При изменении позиции характеристик на сайте CMS выдало сообщение: Ошибка. Доступ запрещен: Возможно CSRF-атака.
Спасибо интернету и форуму поддержки Сs-Cart (мои рекомендации для всех — читайте форум, возможно там вы найдете много ответов на свои вопросы).
CSRF (Cross-Site Request Forgery, также XSRF) – опаснейшая атака, которая приводит к тому, что хакер может выполнить на неподготовленном сайте массу различных действий от имени других, зарегистрированных посетителей.
Какие это действия – отправка ли сообщений, перевод денег со счёта на счёт или смена паролей – зависят от сайта, но в любом случае эта атака входит в образовательный минимум веб-разработчика.
Оказывается, ошибка CSRF может возникать при одновременной работе нескольких человек в админке сайта.
Проблема чаще всего возникает из-за того, что POST запрос обрезается сервером и в итоге в нем отсутствует параметр security_hash.
Решение:
Для решения проблемы в корне сайта в файл .htaccess добавьте код:
php_value pcre.backtrack_limit 10000000 php_value max_input_vars 10000
Posted in CS-CART and tagged CSRF-атака, сs-cart.
Ошибка CSRF может возникать при одновременной работе нескольких человек в админке сайта.
Проблема чаще всего возникает из-за того, что POST запрос обрезается сервером и в итоге в нем отсутствует параметр security_hash
.
Для решения проблемы в корне сайта, в файл .htaccess добавьте код:
php_value pcre.backtrack_limit 10000000
php_value max_input_vars 10000
Loading
-
#791
чистил и даже на новой(чистый, только что установленный арбузер) и все не работает
В личку пиши помогу
-
#792
чистил и даже на новой(чистый, только что установленный арбузер) и все не работает
посмотри — » — кавычки не подтёр в $config[‘admin_index’] = ‘admin.php’;
или ;
а так…, если у тебя новый, то переустанови.
-
#793
Косяк в том что включено безопасное соединение в админку, а ssl не установлен на хостинге. Как теперь отключить? в админку так и не заходит
Последнее редактирование: 17 Июн 2015
-
#794
Косяк в том что включено безопасное соединение в админку, а ssl не установлен на хостинге. Как теперь отключить? в админку так и не заходит
здорово земеля!
зайди в редактор БД, (phpmyadmin)
найди таблицу XX_setting_object (XX префикс, по умолчанию cscart)
в ней найди secure_admin
замени Y на N
-
#795
Блин, ребят инструкции писать тупо лень и нет времени, уж не обессудьте. Если кто-то напишет — я не против. Написать можно тупо сравнив каталоги например в Beyond Compare, там понять абсолютно не сложно что к чему. Да и по APCu — отпишитесь какие результаты будут у вас — у меня он в некоторіх момента все-равно дает о себе знать, не так жестко как раньше, но дает. К слову когда ставлю хранить бєкенд в базе, а не АПК скорость пэйджспид не меняется.
Уже пробовал несколько раз, результат один и тот-же: создаю новый способ доставки например «Новая почта» начинаю во вкладке «стоимость» добавлять зависимости цен для каждого региона отдельно. 10-11 регионов редактируются отлично, а при последующем добавлении-редактировании движок без сохранения выбивает на главную страницу админки и выдает сообщение «Ошибка Доступ запрещен: Возможна CSRF-атака» и получается далее этот способ доставки уже нельзя редактировать/изменять условия/цены и т.п. в чем может быть причина? удалял данный способ, чистил кэш, создавал заново и все-равно одно и тоже…При этом все остальное (товары, страницы, блоки и т.п.) редактируется и сохраняется без ошибки
-
#796
Уже пробовал несколько раз, результат один и тот-же: создаю новый способ доставки например «Новая почта» начинаю во вкладке «стоимость» добавлять зависимости цен для каждого региона отдельно. 10-11 регионов редактируются отлично, а при последующем добавлении-редактировании движок без сохранения выбивает на главную страницу админки и выдает сообщение «Ошибка Доступ запрещен: Возможна CSRF-атака» и получается далее этот способ доставки уже нельзя редактировать/изменять условия/цены и т.п. в чем может быть причина? удалял данный способ, чистил кэш, создавал заново и все-равно одно и тоже…При этом все остальное (товары, страницы, блоки и т.п.) редактируется и сохраняется без ошибки
Похоже на доп.защиту на стороне Хостера. Поищите в панельке управления, как её отключить. Или напишите им в тех.поддержку.
-
#797
Похоже на доп.защиту на стороне Хостера. Поищите в панельке управления, как её отключить. Или напишите им в тех.поддержку.
Я тоже на это подумал, но по идее это сообщение в таком случае выскочило б на белом экране , а так это служебное сообщение цс-карта…Пока что решил проблему, создав пункт назначения «Все регионы» для регионов с одинаковым тарифом и «Регионы с доп. тарифом», вроде так и правельнее будет и пока что все работает
-
#798
здорово земеля!
зайди в редактор БД, (phpmyadmin)
найди таблицу XX_setting_object (XX префикс, по умолчанию cscart)
в ней найди secure_admin
замени Y на N
здарово. поменял и ничего не изменилось
-
Безымянный.jpg
15,3 KB
· Просмотры: 9
- Автор темы
-
#799
Я тоже на это подумал, но по идее это сообщение в таком случае выскочило б на белом экране , а так это служебное сообщение цс-карта…Пока что решил проблему, создав пункт назначения «Все регионы» для регионов с одинаковым тарифом и «Регионы с доп. тарифом», вроде так и правельнее будет и пока что все работает
Уже пробовал несколько раз, результат один и тот-же: создаю новый способ доставки например «Новая почта» начинаю во вкладке «стоимость» добавлять зависимости цен для каждого региона отдельно. 10-11 регионов редактируются отлично, а при последующем добавлении-редактировании движок без сохранения выбивает на главную страницу админки и выдает сообщение «Ошибка Доступ запрещен: Возможна CSRF-атака» и получается далее этот способ доставки уже нельзя редактировать/изменять условия/цены и т.п. в чем может быть причина? удалял данный способ, чистил кэш, создавал заново и все-равно одно и тоже…При этом все остальное (товары, страницы, блоки и т.п.) редактируется и сохраняется без ошибки
Попробуйте отключить защиту от CSRF-атак, видимо криво работает, в файле config.local.php замените «‘anti_csrf’ => true,» на «‘anti_csrf’ => false,»
-
#800
Попробуйте отключить защиту от CSRF-атак, видимо криво работает, в файле config.local.php замените «‘anti_csrf’ => true,» на «‘anti_csrf’ => false,»
Спасибо, также интересует вопрос когда от вас можно ждать зануленый 4.3.2, и возможно ли будет потом как-то обновить ваш-же 4.3.1 или это не реально?