8 800 500-47-11
8 800 500-47-11
Отдел продаж
База знаний
  • Все решения
  • Интернет-магазины
    • Аспро: Премьер
    • Аспро: Лайтшоп
    • Аспро: Максимум
    • Аспро: Шины и диски 2.0
    • Аспро: Next
    • Аспро: Оптимус
    • Аспро: Шины и диски, интернет-магазин
    • Аспро: Маркет
    • Аспро: Интернет-магазин
    • Аспро: Крутой шоп
  • Корпоративные сайты
    • Аспро: Приорити 2.0
    • Аспро: Корпоративный сайт 3.0
    • Аспро: Корпоративный сайт 2.0
    • Аспро: Стройка 2.0
    • Аспро: Инжиниринг
    • Аспро: Металл
    • Аспро: Digital 2.0
    • Аспро: Детский сад и образовательный центр
    • Аспро: Курорт 2.0
    • Аспро: Ландшафт 2.0
    • Аспро: Автосервис
    • Аспро: Медицинский центр 3.0
    • Аспро: Ландшафт
    • Аспро: Медицинский центр 2.0
    • Аспро: Курорт
    • Аспро: Стройка
    • Аспро: Сайт медицинского центра
    • Аспро: Корпорация
    • Аспро: Корпоративный сайт
    • Аспро: Корпоративный сайт современной компании
    • Аспро: Приорити
    • Аспро: Digital
  • Модули
    • Аспро: Привязка ответственного
    • Аспро: Шинный калькулятор
    • Аспро: Кредитный калькулятор
    • Аспро: Универсальный импорт
  • 1С-Битрикс
    • Общее

При проверке обнаружена уязвимость Cross-Site Scripting

ID статьи: 154 , создана 28 окт 2016
Актуально для:
При анализе уязвимостей было обнаружено проблемное место.

Решение
Внимание! Статья предназначена для пользователей решения, владеющими основами веб-разработки. Если вы не обладаете базовыми знаниями в программировании и хотите скрыть предупреждение, свяжитесь с нами через поддержку.

Обычно предупреждение отображается со следующим сопроводительным текстом:

Статический анализ уязвимостей обнаружил 1 проблемных мест Важно!

Cross-Site Scripting

Файл: /_!/bitrix/tmp/templates/__bx_preview/components/aspro/oneclickbuy/shop/template.php

53:  $arSkuProps  =  explode ( ";" , $_REQUEST [ 'OFFER_PROPS' ] )

55:  echo   serialize ( $arSkuProps )

Необходимые условия:

52:  if ( $_REQUEST [ 'OFFER_PROPS' ] )

Разрешено подключение файлов по URL (URL wrappers) Важно!

Эта опция php крайне противопоказана


Данный код не опасен и является частью решения.  Код отвечает за передачу свойств торговых предложений в заказ из формы покупки в 1 клик. 



При появлении предупреждения вы можете указать в настройках php следующий код: 

allow_url_include = Off Свернуть