Последнее обновление webasyst 1.7.2.138

Question

Последнее обновление webasyst 1.7.2.138

Форум поддержки » Вопросы и ответы

Здравствуйте, после последнего обновления webasyst 1.7.2.138 (улучшение системы безопасности) перестало работать приложение "Веб-формы". При редактировании форм, просмотр записей, сохранение форм - виснет в бесконечном сохранении или загрузки. Это произошло сразу после обновления, до этого все было нормально. Это недоработка обновления или обращаться к разработчику приложения?

29 ответов

+1

Genasyst Партнер-эксперт Партнер-разработчик 23 мая 2017 10:59 #

Это вероятно недоработки разработчиков плагинов, в моих плагинах ошибок нет.

ответить

+2

Плебей 23 мая 2017 11:08 #

Одна из причин:
'csrf' => true

ответить

+1

Genasyst Партнер-эксперт Партнер-разработчик 23 мая 2017 11:21 #

Оно автоматически ставится при ajax запросах в бекенде, соответственно где не ставится надо самому ставить.
https://developers.webasyst.ru/features/csrf/

ответить

0

Плебей 23 мая 2017 11:37 #

Вот в последнем обновлении фреймворка что-то намутили. Многие плагины работают только если изменить на
'csrf' => false

ответить

0

Владислав Горлов Webasyst 23 мая 2017 11:43 #

Это, в первую очередь, проблема плагинов. Решение, предложенное вами, можно использовать лишь как временное и если эти плагины прям срочно нужны для использования.

ответить

+2

Плебей 23 мая 2017 11:47 #

Ну, это естественно. Оставлять защиту голой надолго не рекомендуется. Это кратковременное решение.

ответить

+3

waResearchLab Партнер-эксперт Партнер-разработчик 23 мая 2017 11:52 #

В первую очередь, это проблема пользователей Webasyst, которые получили обновление, после которого многое-ли, малое-ли поотваливалось. Если в процессе разработки этого обновления вы знали о таких потенциальных проблемах - должны были оповестить разработчиков плагинов хотя бы общей рассылкой. Если не знали - проблема тестирования фреймворка. Поэтому говорить что "это, в первую очередь, проблема плагинов" - это с больной головы на здоровую перекладывать.

ответить

+2

Плебей 23 мая 2017 11:53 #

Вот только не могу согласиться, что это проблема плагинов. Это ведь сделано по инструкциям ВА:
Защита вашего приложения от CSRF-атак Чтобы сделать приложения на основе фреймворка Вебасист более безопасными, мы реализовали защиту от атак CSRF на уровне ядра фреймворка. Применить защиту в вашем приложении следует следующим образом: В конфигурационном файле приложения wa-apps/APP_ID/lib/config/app.php добавить запись 'csrf' => true,
Источник: https://developers.webasyst.ru/features/csrf/

ответить

+1

Genasyst Партнер-эксперт Партнер-разработчик 23 мая 2017 12:00 #

а переменная передается в запросе?

ответить

+1

Плебей 23 мая 2017 12:07 #

Гена, я без понятия. Я пользователь, а не разработчик. Просто разбирая ошибку после обновления фреймворка (использовал приложение MyLang Lite) наткнулся на этот косяк. Подкорректировал временно, поработал и включил true. Судя по постам, и Хаб не работает с теми же симптомами.

ответить

+1

Genasyst Партнер-эксперт Партнер-разработчик 23 мая 2017 12:17 #

да, видел

ответить

+2

Игорь Гапонов Партнер-разработчик 23 мая 2017 13:25 #

А в чем конкретно проблемы, можете уточнить? Если все время работало, переменная CSRF передавалась и проверялась при каждом запросе. Вдруг вышло обновление и выясняется, что разработчик виноват.
Также меня смущает несогласованность сотрудников Вебасист. Михаил ответил, что причина в обновлении, и это будет исправлено. Алексей отсылает к разработчикам, как и Вы. Реальная причина в чем? Мне стоит писать обновления для всех плагинов и приложений (не один этот перестал работать) или подождать выхода новой версии фреймворка? Если беда только у моих разработок, и я неправильно их делаю - без проблем, исправлю

ответить

+1

Genasyst Партнер-эксперт Партнер-разработчик 23 мая 2017 13:35 #

Я думаю сейчас откатят обновление, это самый разумный выход...

ответить

+1

Александр Партнер-разработчик 23 мая 2017 15:01 #

Подержу, сначала нужно выяснить на чьей стороне проблема, а потом искать пути ее решения. У нас так же все до этого обновления работало, а после него перестало, хотя и конфигурационный файл правильный и в запросах идет передача csrf.

ответить

+1

Genasyst Партнер-эксперт Партнер-разработчик 23 мая 2017 16:02 #

Установлены последние версии всех приложений.

Версия Webasyst — 1.7.3.139

Request URL: /webasyst/shop/?plugin=advancedparams&action=FileUpload
Request Method:POST
Status Code:403 Forbidden
Remote Address:213.159.209.139:80
Referrer Policy:no-referrer-when-downgrade
Response Headers
view source
Connection:Keep-Alive
Content-Length:1683
Content-Type:text/html; charset=utf-8
Date:Tue, 23 May 2017 13:01:05 GMT
Keep-Alive:timeout=5, max=100
Server:Apache/2.4.6 (CentOS) mpm-itk/2.4.7-01 OpenSSL/1.0.1e-fips mod_fcgid/2.3.9 PHP/5.4.16
X-Powered-By:PHP/5.4.16
Request Headers
view source
Accept:text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Encoding:gzip, deflate
Accept-Language:ru,en;q=0.8
Cache-Control:max-age=0
Connection:keep-alive
Content-Length:1051069
Content-Type:multipart/form-data; boundary=----WebKitFormBoundaryEA9xYXdPIOR3OLuv
Cookie:tz=Asia/Riyadh; oldtz=Asia/Riyadh; remember=1; _csrf=59241126857d00.98365994; back_url=%2Fwebasyst%2Flogs%2F%3Faction%3Dfiles%26mode%3Dupdatetime; auth_token=7c291d2ee1e1e39124a1e872d778d4a; PHPSESSID=k0maierutqmr4nd8pct97odvq1; last_page=1%5E%5E%5E%2Fwebasyst%2Fshop%2F%3Faction%3Dproducts
Host:213.159.209.139
Origin:----
Referer:----
Upgrade-Insecure-Requests:1
User-Agent:Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/57.0.2987.137 YaBrowser/17.4.0.2461 Yowser/2.5 Safari/537.36
Query String Parameters
view source
view URL encoded
plugin:advancedparams
action:FileUpload
Request Payload
------WebKitFormBoundaryEA9xYXdPIOR3OLuv
Content-Disposition: form-data; name="action"

category
------WebKitFormBoundaryEA9xYXdPIOR3OLuv
Content-Disposition: form-data; name="action_id"

254
------WebKitFormBoundaryEA9xYXdPIOR3OLuv
Content-Disposition: form-data; name="type"

image
------WebKitFormBoundaryEA9xYXdPIOR3OLuv
Content-Disposition: form-data; name="field_name"

icon
------WebKitFormBoundaryEA9xYXdPIOR3OLuv
Content-Disposition: form-data; name="size_type"

crop
------WebKitFormBoundaryEA9xYXdPIOR3OLuv
Content-Disposition: form-data; name="width"

21
------WebKitFormBoundaryEA9xYXdPIOR3OLuv
Content-Disposition: form-data; name="advancedparams_file"; filename="6456456.jpg"
Content-Type: image/jpeg


------WebKitFormBoundaryEA9xYXdPIOR3OLuv--

ответить

+2

Настя 23 мая 2017 16:44 #

Здравствуйте!
Нет не работает, симптомы те же (виснет при сохранении, при загрузки записей пишет "ошибка" и зависает)... Плагин "Логотип категории" тоже не работает, выдаёт "CSRF Protection code 403". А как можно откатиться на версию 1.7.1.136, там все работало без проблем?

ответить
- +3
  
  Михаил Ушенин Webasyst 23 мая 2017 16:55 #
  
  Такая же ошибка наблюдается и в приложении Webasyst Файлы. Разработчикам передали, будут дальше исправлять.
  Откатиться на более старую версию можно из резервной копии. Её стоит всегда сохранять перед установкой любых обновлений.
  
  ответить
- +1
  
  Настя 24 мая 2017 15:20 #
  
  Приложение Фото и импорт из CSV файл тоже перестали работать, после выбора файла бесконечно крутится колесико и ничего не происходит.
  Ошибка в консоли:
  Uncaught TypeError: undefined is not a function wa.core.js:461
  
  ответить

+1

BNP (Дмитрий) Партнер-эксперт Партнер-разработчик 5 июня 2017 01:37 #

Версия вебасист - 1.7.4.142
Магазин - 7.2.11.129
Это происходит во ВСЕХ браузерах, в том числе в тех, с которых до этого на данный сайт не заходилось, при попытке загрузки файла.
Если сделать в настройках магазина
'csrf' => false,
Ошибки нет, но просто прилетает Invalid Server Response (красным возле кнопки).
Что-то предприниматься будет или самому копать?

ответить

+2

BNP (Дмитрий) Партнер-эксперт Партнер-разработчик 6 июня 2017 20:18 #

Короче такая хрень происходит при использовании php 7.0 и 7.1
На 5.6 вроде работает. Но, ИМХО, это не дело.

ответить

+2

Михаил Ушенин Webasyst 7 июня 2017 09:44 #

Возможно, у вас разные конфигурации используются для разных версий PHP. Например, значения post_max_size и max_input_vars. Попробуйте использовать в новой версии PHP конфигурацию от старой версии, где всё работает.

ответить
+1

Genasyst Партнер-эксперт Партнер-разработчик 24 июля 2017 22:08 #

мы с вами в ВК не переписывались?

ответить

Добавить ответ

**Алексей** · Answer 1

1

Алексей Webasyst 23 мая 2017 10:15 #

Обращаться напрямую к разработчику приложения.

ответить

**Эмиль** · Answer 2

1

Эмиль Партнер-разработчик 23 мая 2017 10:16 #

Тоже куча ошибок появилось с плагинами после обновления

ответить

**Михаил Ушенин** · Answer 3

1

Михаил Ушенин Webasyst 23 мая 2017 10:20 #

Похоже на проблему в обновлении фреймворка. Скоро будет выпущено обновление с исправлением, подождите, пожалуйста.

ответить

**Михаил Ушенин** · Answer 4

1

Михаил Ушенин Webasyst 23 мая 2017 15:46 #

Проверьте с сегодняшним обновлением фреймворка.

ответить

**BNP (Дмитрий)** · Answer 5

2

BNP (Дмитрий) Партнер-эксперт Партнер-разработчик 25 мая 2017 17:46 #

Господа, я не знаю кто и что починил, но при попытке импорта товара я после загрузки файла получают вот такое

Версия Webasyst — 1.7.3.139

Магазин - 7.2.11.129

Должен заметить, что это как-то не смешно, что ли =(

ответить

**Black Webasyst** · Answer 6

1

Black Webasyst 25 мая 2017 20:32 #

в шопе до сих пор проверочная переменная не добавляется автоматически.

ответить

**badhed** · Answer 7

В настоящий момент Хром и сыновья не переваривает донорские веб-формы на сайтах, которые имеют домен второго уровня отличный от домена сайта-донора , к которому привязано приложение веб-формы. ( при выборе способа экспансии формы Поделиться (iFrame) или js)