Neu Menü funktioniert mobil nicht

[lack.store]

Guten Tag,

Wenn wir im Chrome auf Android die Menüführung auf http://www.lack.store testen, wirft die Console diverse Fehlermeldungen bezüglich der Server Side Access Control Header. Der Aufruf bezieht sich auf die io.php.

XMLHttpRequest cannot load http://www.lack.store/io.php. Response to preflight request doesn't pass access control check: No 'Access-Control-Allow-Origin' header is present on the requested resource. Origin 'http://lack.store' is therefore not allowed access.

Das Menü lässt sich hierdurch mobil nicht bedienen.
In der responsive simulation am desktop-chrome funktioniert alles.

Beste Grüße,

Friedrich Mocker

 

[ag-websolutions.de]

Hast du JTL-Search (lizenzpflichtig) im Einsatz?
Wenn nein, prüfen ob das Plugin aktiviert ist und wenn ja deaktivieren

 

[lack.store]

Das war der fall, hat aber nichts gebracht :-/

 

[ag-websolutions.de]

Alle Caches geleert (Browser, Template, Object)?

 

[lack.store]

Ich habe in der io.php direkt unter ob_start();
header("Access-Control-Allow-Origin: *");
eingefügt, jetzt geht es natürlich.
Vielleicht kann mich ja noch jemand aufklären welche Sicherheitslücken sich damit auftuen? Und wieso das auftritt?

Grüße,
Friedrich

 

[david]

Schau nochmal in die Fehlermeldung: "Origin 'http://***.store'..." und "XMLHttpRequest cannot load http://www.***.store/io.php". Das Problem tritt also nur auf, weil du den Shop aktuell sowohl mit als auch ohne www. aufrufen kannst.
Lässt sich einfach lösen, indem du dich für eine primäre Domain entscheidest (includes/config.JTL-Shop.ini.php) und alles andere auf die primäre Domain umleitest (.htaccess).

 

[lack.store]

Wow, vollkommen übersehen. Vielen Dank, das macht natürlich ganz viel Sinn. Das hätte man sehen können

 

[OS8610]

@david

wir arbeiten aktuell mit JTL Shop 5 und subdomains für unterschiedliche Sprachen.

also it.domain.xy für italienisch usw.

Wir bekommen ebenfalls diese CORS Access blocked Fehlermeldung und die js können bei Aufruf über die Subdomains nicht ausgeführt werden.
htaccess ist Standard.

wir benutzen bereits nur domain.xy ohne www und das funktioniert eigentlich auch.

Hier die Fehlermeldung in der ganzen Pracht:
Access to XMLHttpRequest at 'https://domain.xy/Artikelname?isAjax' from origin 'https://it.domain.xy' has been blocked by CORS policy: No 'Access-Control-Allow-Origin' header is present on the requested resource.

Wo kann / muss man das noch anpassen damit Kunden auch in anderen Sprachen den Warenkorb Knopf angezeigt bekommen und etwas kaufen können?