| Macik |
|
|---|---|
|
Алекс не совсем прав, параметр «Х» при Пост запросе (при услови, что это аякс запрос) можно передавать как пост параметром, так и в строке запроса (гет параметром). Для убедительности можно глянуть строки 568-572 файла common.php. ----- С описанной проблемой сталкивался когда прикручивал к одному из сатов флэшовый аякс загрузчик файлов. Бился долго и параметр Х передавал, и другие варианты пробовал. Оказалось, что он (загрузчик) работает в 2 этапа, первым делает запрос на наличие файла (и этот запрос отрабатывает нормально с Х параметром), а делее идет собственно загрузка файла, в которой он обращается «напрямую» и параметров не передает. Решил в конце концов, примерно так, как описано в приведенной выше ссылке: т.е. повесил на хук «init» проверку входящего запроса, если это флэш загрузчик - отключаем проверку XSS:
if ($_SERVER['HTTP_USER_AGENT']=='Shockwave Flash') {
define('COT_NO_ANTIXSS', TRUE);
}
Это упрощенный код. для надежности надо еще проверять прочие параметры запроса.
https://github.com/macik
правильный хостинг — https://goo.gl/fjCa1F |
