403 Запрещено указывать в промо-форме содержание POST

10

Я получаю 403 Запрещенных ответа при попытке сохранить изменения в существующем правиле цены корзины покупок. Это происходит только при следующих условиях:

  • Добавление более 3 условий к правилу

Для контекста я пытаюсь добавить 5 правил к правилу, все они структурированы как:

ANY = TRUE:
  IF FOUND WITH ANY = TRUE:
    SKU = X
    SKU = X
    SKU = X

Если я пытаюсь добавить четвертое SKU = Xусловие и сохранить правило, я получаю 403 запрещенную ошибку.

Что я знаю:

  • Это может быть воспроизведено только на производстве (не разработчик / постановка)
  • Я могу успешно установить 3 или менее SKU = Xусловий с любыми значениями
  • Я могу успешно добавлять любые другие типы условий с любыми значениями
  • Это происходит раньше preDispatch, поэтому перенаправления / переадресация не выполняются
  • /.htaccessФайл в основном складе (без переработок)

Кто-нибудь испытывал это или что-то подобное раньше?

Рик Бучински
источник
Могу только сказать, что столкнулся с проблемами при добавлении больших деревьев. И было похоже, что что-то пошло не так (параметры не были сохранены, некоторые из них были пропущены). (это было на чистом пурпурном). Я не видел в проблеме, я просто удалил существующее правило и создал новое.
Жартауник
@zhartaunik Ваш совет дал мне надежду, но не удачу :) Я создал правило с нуля с теми же данными, включая мои 4-е и 5-е условия, и я получил ту же ошибку. Если у меня есть только 3 условия, он успешно сохраняется.
Рик Бучински
1
Есть ли на вашем сервере какие-либо необычные модификации, такие как использование mod_security?
Агоп
Хороший вопрос, похоже, это может быть так, но у меня ограниченный доступ к производственному серверу (dev-контрактник) и я не могу оценить конфигурацию веб-сервера. Я вижу mod_security.conf, но не могу подтвердить, что он используется. Я посмотрю на это. Спасибо @Agop.
Рик Бучинский
Как насчет добавления условия непосредственно в БД?
kiatng

Ответы:

1

Решил вопрос. У @Agop была правильная идея изучить настройки mod_security. В моем случае я не смог их контролировать, и мне пришлось обратиться к хостинг-провайдеру.

Как выясняется, хост (Nexcess) может иметь некоторые жесткие настройки безопасности. Они даже ссылаются на это в своем блоге несколько лет назад:

https://blog.nexcess.net/2012/09/14/mod_security-and-content-management-systems/

Изменяя некоторые настройки для учетной записи, ошибки 403 исчезают (я не смог узнать, какие настройки - если я узнаю, я опубликую их здесь).

Рик Бучински
источник