Hallo,
nach langer Zeit Abstinenz wollte ich nun den neuen JTL Shop 4.0.5 einrichten.
Klappte auch alles wunderbar, beim Sicherheitspatch V2 hatte ich zwar ein paar Probleme aber sonst, alles nur Kleinigkeiten.
Aber, anscheinend hat der Shop ein schwerwiegendes Problem mit Cross Scripting Anweisungen.
Nachdem ich im Admin immer fröhlich beim Speichern meiner Angaben ausgeloggt wurde, dachte ich erst an ein Session Problem. Also alles Relevante in der php.ini erhöht, Problem bleibt.
Nginx ausgeschaltet, mehrere PHP Versionen getestet, alles ohne Erfolg.
Außerdem ist mir aufgefallen dass bei der Neuanmeldung im Admin immer öfter die CSRF Fehlermeldung kommt.
Ergo verliert der Shop während der Arbeit im Adminbereich den Token.
Das würde z. B. auch erklären warum der EVO Lifestyler nicht funktioniert. Wahrscheinlich ist man zu 99% direkt nach dem Adminlogin schon auf der Abschussliste.
Bin für jeden konstruktiven Lösungsvorschlag offen und bedanke mich schon einmal vorab.
Viele Grüße
Manfred
nach langer Zeit Abstinenz wollte ich nun den neuen JTL Shop 4.0.5 einrichten.
Klappte auch alles wunderbar, beim Sicherheitspatch V2 hatte ich zwar ein paar Probleme aber sonst, alles nur Kleinigkeiten.
Aber, anscheinend hat der Shop ein schwerwiegendes Problem mit Cross Scripting Anweisungen.
Nachdem ich im Admin immer fröhlich beim Speichern meiner Angaben ausgeloggt wurde, dachte ich erst an ein Session Problem. Also alles Relevante in der php.ini erhöht, Problem bleibt.
Nginx ausgeschaltet, mehrere PHP Versionen getestet, alles ohne Erfolg.
Außerdem ist mir aufgefallen dass bei der Neuanmeldung im Admin immer öfter die CSRF Fehlermeldung kommt.
Ergo verliert der Shop während der Arbeit im Adminbereich den Token.
Das würde z. B. auch erklären warum der EVO Lifestyler nicht funktioniert. Wahrscheinlich ist man zu 99% direkt nach dem Adminlogin schon auf der Abschussliste.
Bin für jeden konstruktiven Lösungsvorschlag offen und bedanke mich schon einmal vorab.
Viele Grüße
Manfred