XF 1.5 Обнаружено нарушение безопасности

[DiWorm]

После одного из обновлений апача и нгинкса форум стал ругаться такими вещами:


При попытке загрузить файл: Обнаружено нарушение безопасности. Пожалуйста, нажмите "Назад" в браузере, обновите страницу и попробуйте снова.

При попытке открыть расширенную форму редактирования:

Страница недоступна
Браузер Chrome обнаружил на этой странице необычный код и заблокировал его, чтобы защитить ваши данные (например, пароли, а также номера телефонов и банковских карт).

• Попробуйте
  У Вас недостаточно прав для просмотра ссылок. Вход или Регистрация
  .

ERR_BLOCKED_BY_XSS_AUDITOR

Есть идеи, с чего это может быть связанно?

 

[unconfirmed]

DiWorm, .не передаётся _xfToken

 

[DiWorm]

DiWorm, .не передаётся _xfToken

Интересно.. И с чем это может быть связанно? Единственное изменение за последнее время это апдейты апача и нгинкса ну и пхп вместе с ними


UPD. Картинки и текстовые файлы загружаются нормально, проблема с файлами выше определенного размера и zip архивами судя по всему

 

[unconfirmed]

.можно тестовый аккаунт в ЛС?

 

[Mirovinger]

Версия браузера и движка?

 

[DiWorm]

Версия браузера и движка?

1.5.13, Хром актуальной версии Версия 59.0.3071.115 (Официальная сборка), (64 бит)

 

[Mirovinger]

Обновляйте движок, там это исправлено, виной браузер, изменения в безопасности для пользователей.

 

[DiWorm]

Обновляйте движок, там это исправлено, виной браузер, изменения в безопасности для пользователей.

Уверены, что поможет? :-) Судя по гуглу, по крайне мере, 1-ая проблема уже была с версии 1.2

 

[Mirovinger]

Ну, или в config.php:

header('X-XSS-Protection: 1');

Уверены, что поможет? :-) Судя по гуглу, по крайне мере, 1-ая проблема уже была с версии 1.2

Читайте, если не верите -

У Вас недостаточно прав для просмотра ссылок. Вход или Регистрация

.

При попытке загрузить файл: Обнаружено нарушение безопасности. Пожалуйста, нажмите "Назад" в браузере, обновите страницу и попробуйте снова.

А за это, так настройки сервера смотрите тогда, что там обновили.

 

[DiWorm]

А за это, так настройки сервера смотрите тогда, что там обновили.

Знал бы куда смотреть, сюда не пришел :-) В гугле разное пишут.. Но точного решения найти не удалось. Энивэй, пошел в апдейт, поглядим, может он все исправит :)

 

[unconfirmed]

DiWorm, .вам решение выше написали

 

[DiWorm]

Обновление исправило ошибку об XSS, к 1 вопросу
header('X-XSS-Protection: 1'); никак не помог.

UPD. Картинки и текстовые файлы загружаются нормально, проблема с файлами выше определенного размера и zip архивами судя по всему

 

[Mirovinger]

Обновление исправило ошибку об XSS, к 1 вопросу
header('X-XSS-Protection: 1'); никак не помог.

Так оно и должно было исправить только редактор.
Второй вопрос, который я не сразу увидел, это отдельный вопрос, и явно связан с обновлением на сервере, посмотрите в консоли браузера, что за ошибки, при загрузке.

 

[unconfirmed]

.всё хорошо у вас

 

[Mirovinger]

UPD. Картинки и текстовые файлы загружаются нормально, проблема с файлами выше определенного размера и zip архивами судя по всему

При каком размере ошибки?
И если так, то смотрите в сторону настроек сервера.

 

[DiWorm]

В консоле на файле, который косячит:

Attachments changed, total files: 1, images: 0
attachment_editor_new.js?_v=53194013:15 Uploaded 6011988/10893771 bytes.
attachment_editor_new.js?_v=53194013:15 Uploaded 10893771/10893771 bytes.
xenforo.js?_v=53194013:223 XenForo.activate(e.fn.init(1))
attachment_editor_new.js?_v=53194013:16 AttachmentUploadError: n.Event
AttachmentUploadError @ attachment_editor_new.js?_v=53194013:16
dispatch @ jquery-1.11.0.min.js:3
r.handle @ jquery-1.11.0.min.js:3
trigger @ jquery-1.11.0.min.js:3
e.event.trigger @ xenforo.js?_v=53194013:2
(anonymous) @ jquery-1.11.0.min.js:3
each @ jquery-1.11.0.min.js:2
each @ jquery-1.11.0.min.js:2
trigger @ jquery-1.11.0.min.js:3
(anonymous) @ attachment_editor_new.js?_v=53194013:10
(anonymous) @ flow-rollup.min.js?_v=53194013:2
l @ flow-rollup.min.js?_v=53194013:2
fire @ flow-rollup.min.js?_v=53194013:2
chunkEvent @ flow-rollup.min.js?_v=53194013:2
event @ flow-rollup.min.js?_v=53194013:2
doneHandler @ flow-rollup.min.js?_v=53194013:2

Настройки сервера:

server {
        listen 80;
        server_name gamecoma.ru;
        return 301 https://$server_name$request_uri;  # enforce https
}

server {
        listen 443 ssl http2;
        server_name gamecoma.ru;
      
        gzip on;
        gzip_disable "msie6";
        gzip_types text/plain text/css application/json application/x-javascript text/xml application/xml application/xml+rss text/javascript application/javascript;
      


        ssl on;
        ssl_session_timeout 24h;
        ssl_certificate XXX;
        ssl_certificate_key XXX;
        ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
        ssl_prefer_server_ciphers on;
        ssl_ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS;
        ssl_session_cache shared:SSL:10m;
        add_header Strict-Transport-Security "max-age=31536000;";
        resolver 8.8.8.8 8.8.4.4 valid=300s;
        ssl_stapling on;
        ssl_stapling_verify on;
        resolver_timeout 10s;
        # spdy_keepalive_timeout 300;
        # spdy_headers_comp 9;
        ssl_dhparam XXX;

        location ~* ^.+\.(html|htm|tpl|jpg|jpeg|gif|png|svg|js|css|mp3|ogg|mpe?g|avi|zip|gz|bz2?|rar|tpl)$
        {
            root XXX;
            access_log XXX;
            error_log XXX;
          
            expires 168h;
        }
        location /
        {
            proxy_read_timeout 120;
            proxy_connect_timeout 120;
            proxy_pass http://gamecoma.ru:8080;
            proxy_set_header Host $host;
            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
            proxy_set_header X-Real-IP $remote_addr;
        }

    }

Косячит на файлах: PNGшка 2.1 мб, ZIP 10мб


nginx.conf
client_max_body_size 50m;

 

[Mirovinger]

Что я получил у вас, при загрузке архива чуть больше пяти мегабайт.
The uploaded file is too large for the server to process.

То есть, никаких описанных Вами ошибок, а превышение лимита.