POST-запросы и XSS

Yusupov	#1 2012-07-10 08:19
Contributors Bedankt: 28 tijden	Почему бы не ввести возможность отключения проверки параметра $x для POST запросов? Например, столкнулся с такой проблемов в Genoa при подключении Webmoney Merchant. Для проведения оплаты Webmoney должен отослать POST запрос на сайт на заранее задаваемый адрес Result URL, но так как там есть проверка параметра $x, этот запрос не выполняется и происходит редирект.

Yusupov

#1 2012-07-10 08:19

Почему бы не ввести возможность отключения проверки параметра $x для POST запросов?

Например, столкнулся с такой проблемов в Genoa при подключении Webmoney Merchant. Для проведения оплаты Webmoney должен отослать POST запрос на сайт на заранее задаваемый адрес Result URL, но так как там есть проверка параметра $x, этот запрос не выполняется и происходит редирект.

Trustmaster	#2 2012-07-10 09:34
Administrators Bedankt: 263 tijden	Сложность заключается в том, что отключать эту проверку надо для отдельных форм, а проверка происходит в common.php, т.е. до выполнения кода плагинов. May the Source be with you!

Yusupov	#3 2012-07-10 09:42
Contributors Bedankt: 28 tijden	#34915 Trustmaster: Сложность заключается в том, что отключать эту проверку надо для отдельных форм, а проверка происходит в common.php, т.е. до выполнения кода плагинов. Мда, это неприемлемо. Тогда придется выводить работу с Webmoney в отдельный скрипт вне Cotonti.

Yusupov

#3 2012-07-10 09:42

Contributors
Bedankt: 28 tijden

#34915 Trustmaster:
Сложность заключается в том, что отключать эту проверку надо для отдельных форм, а проверка происходит в common.php, т.е. до выполнения кода плагинов.

Мда, это неприемлемо. Тогда придется выводить работу с Webmoney в отдельный скрипт вне Cotonti.

Dayver	#4 2012-07-10 10:31
Team Bedankt: 179 tijden	Использовать сиену и хук input не?! Pavlo Tkachenko aka Dayver

Trustmaster	#5 2012-07-10 10:35
Administrators Bedankt: 263 tijden	Точно, совсем забыл про него! В нём можно сделать следующее: define('COT_NO_ANTIXSS', TRUE); В генуе, соответственно: define('SED_NO_ANTIXSS', TRUE); May the Source be with you!

Yusupov	#6 2012-07-10 10:44
Contributors Bedankt: 28 tijden	Гениально, обожаю Cotonti! Спасибо за подсказку!

Dayver	#7 2012-07-10 15:12
Team Bedankt: 179 tijden	Сам столкнулся с этим когда робокасу прикручивал Pavlo Tkachenko aka Dayver

esclkm	#8 2012-07-10 18:01
Team Bedankt: 76 tijden	все одно и тоже прикручивают littledev.ru - мой маленький зарождающийся блог о котонти. снижение стоимости программирования и снижение стоимости производства разные вещи. Первое можно скорее сравнить с раздачей работникам дешевых инструментов, чем со снижением зарплаты

esclkm

#8 2012-07-10 18:01

Team
Bedankt: 76 tijden

все одно и тоже прикручивают

littledev.ru - мой маленький зарождающийся блог о котонти.
снижение стоимости программирования и снижение стоимости производства разные вещи. Первое можно скорее сравнить с раздачей работникам дешевых инструментов, чем со снижением зарплаты

Wadik	#9 2012-07-10 18:46
Members Bedankt: 4 tijden	#34924 esclkm: все одно и тоже прикручивают выложили бы, чтобы велосипеды не придумывать...

esclkm	#10 2012-07-10 20:19
Team Bedankt: 76 tijden	) это не совсем велосипеды) а например: у когото через робокассу подаются объявления, у другого продаются цветы, у третьего карточка участника и тд ) механизмы похожие. Да и не думаю - что то что связано с прямой выгодой, кто либо будет выклыдывать фри! littledev.ru - мой маленький зарождающийся блог о котонти. снижение стоимости программирования и снижение стоимости производства разные вещи. Первое можно скорее сравнить с раздачей работникам дешевых инструментов, чем со снижением зарплаты

esclkm

#10 2012-07-10 20:19

Team
Bedankt: 76 tijden

) это не совсем велосипеды) а например: у когото через робокассу подаются объявления, у другого продаются цветы, у третьего карточка участника и тд ) механизмы похожие.

Да и не думаю - что то что связано с прямой выгодой, кто либо будет выклыдывать фри!

Dayver	#11 2012-07-10 20:55
Team Bedankt: 179 tijden	Да может быть бы и выложил кто, но вот - прикрутил кто-то робокасу но так прикрутил что к другому проекту и не прикрутишь - универсальность решения то не требовалась, да и она же занимает дополнительный временной ресурс, которого увы не всем хватает Pavlo Tkachenko aka Dayver

Dayver

#11 2012-07-10 20:55

Team
Bedankt: 179 tijden

Да может быть бы и выложил кто, но вот - прикрутил кто-то робокасу но так прикрутил что к другому проекту и не прикрутишь - универсальность решения то не требовалась, да и она же занимает дополнительный временной ресурс, которого увы не всем хватает

Pavlo Tkachenko aka Dayver

Yusupov	#12 2012-07-11 07:17
Contributors Bedankt: 28 tijden	#34927 Dayver: Да может быть бы и выложил кто, но вот - прикрутил кто-то робокасу но так прикрутил что к другому проекту и не прикрутишь - универсальность решения то не требовалась, да и она же занимает дополнительный временной ресурс, которого увы не всем хватает В большинстве случаев так и происходит.

Yusupov

#12 2012-07-11 07:17

Contributors
Bedankt: 28 tijden

#34927 Dayver:
Да может быть бы и выложил кто, но вот - прикрутил кто-то робокасу но так прикрутил что к другому проекту и не прикрутишь - универсальность решения то не требовалась, да и она же занимает дополнительный временной ресурс, которого увы не всем хватает

В большинстве случаев так и происходит.

dedushka	#13 2012-07-11 08:23
Members	#34918 Dayver: Использовать сиену и хук input не?! А нельзя ли поподробней или фрагмент кода для сиены?

esclkm	#14 2012-07-11 09:41
Team Bedankt: 76 tijden	а он уже был приведен littledev.ru - мой маленький зарождающийся блог о котонти. снижение стоимости программирования и снижение стоимости производства разные вещи. Первое можно скорее сравнить с раздачей работникам дешевых инструментов, чем со снижением зарплаты

esclkm

#14 2012-07-11 09:41

Team
Bedankt: 76 tijden

а он уже был приведен