Проект: Drupal Core
Дата публикации: 16 сентября 2020
Риск безопасности: Умеренно критическое. 14/25 AC:Basic A:User CI:Some II:Some E:Theoretical TD:All
Уязвимость: Межсайтовый скриптинг

Описание

Drupal AJAX API по умолчанию не отключает JSONP, что может привести к мемжсайтовому скриптингу.

Решение

Обновиться до актуальных версий:

  • Если используете Drupal 8.8.x, обновитесь до Drupal 8.8.10.
  • Если используете Drupal 8.9.x, обновитесь до Drupal 8.9.6.
  • Если используете Drupal 9.0.x, обновитесь до Drupal 9.0.6.

Если вы ранее использовали Drupal AJAX API для отправки JSONP запросов, вам необходимо добавить к таким запросам опцию "jsonp: true" или использовать jQuery AJAX напрямую.

Если вы используете jQuery AJAX в контрибных или кастомных модулях, вам необходимо что вы задаёте опцию "jsonp: true".

Ссылки

Помощь и обратная связь

Если вы обнаружили ошибку или хотите внести улучшения, и желаете внести изменения самостоятельно при помощи Pull Request
Если вы желаете предложить улучшение для этого документа

Обратиться за помощью

Если вы не нашли то что искали, воспользуйтесь поиском.

Если вам нужна помощь с чем-то конкретным, обратитесь к сообществу.