Q&A
公式サイトのフォーラムのほうがEC-CUBEだけに特化した有識者が多いのですが避けた理由はなんですか?
下記、解決出来ずにいます。。ご教授お願い致します。。
ーーーー
[EC-CUBE] EC-CUBE4.0.3 新規インストール
[レンタルサーバ] konoha wing
[OS] Linux web0051.sh.tyo1 3.10.0-962.3.2.lve1.5.25.12.el7.x86_64
[PHP] 7.3.5
[データベース] MySQL 5.7.26-log
[WEBサーバ] Apache
[ブラウザ] googlechrome 76.0.3809.132
[導入プラグインの有無] 無
[カスタマイズの有無] 無
[現象]
konoha wingのレンタルサーバーを使い、独自SSL設定後、SSH接続にてEC-CUBE4.0.3のダウンロード&インストールを行いました。
インストールページや管理画面TOPとWEBページTOPに関してはSSLが有効になり、保護されたページが表示されます。ただ、その他のページはhttpsになっているもMixed Contentとなり、管理画面内での送料設定やカートの追加、プラグイン利用する為の認証キーの登録等が利用出来ない状態です。。
キャッシュクリアも試しましたが変化はありません。
ーーーーー
.htaccessはECCUBEからダウンロードした内容ままです。
htaccess
1DirectoryIndex index.php index.html .ht 2 3<FilesMatch "^composer|^COPYING|^.env|^.maintenance|^Procfile|^app.json|^gulpfile.js|^package.json|^package-lock.json|web.config|^Dockerfile|.(ini|lock|dist|git|sh|bak|swp|env|twig|yml|yaml|dockerignore)$"> 4 order allow,deny 5 deny from all 6</FilesMatch> 7 8<Files ~ "index.php"> 9 order deny,allow 10 allow from all 11</Files> 12 13<IfModule mod_headers.c> 14 # クリックジャッキング対策 15 Header always set X-Frame-Options SAMEORIGIN 16 17 # XSS対策 18 Header set X-XSS-Protection "1; mode=block" 19 Header set X-Content-Type-Options nosniff 20</IfModule> 21 22# デザインテンプレートを適用するため10Mで設定 23<IfModule mod_php7.c> 24 php_value upload_max_filesize 10M 25</IfModule> 26 27 28 29<IfModule mod_rewrite.c> 30 #403 Forbidden対応方法 31 #ページアクセスできない時シンボリックリンクが有効になっていない可能性あります、 32 #オプションを追加してください 33 #Options +FollowSymLinks +SymLinksIfOwnerMatch 34 35 RewriteEngine On 36 37 38 # Authorization ヘッダが取得できない環境への対応 39 RewriteCond %{HTTP:Authorization} ^(.*) 40 RewriteRule ^(.*) - [E=HTTP_AUTHORIZATION:%1] 41 42 # さくらのレンタルサーバでサイトへのアクセスをSSL経由に制限する場合の対応 43 # RewriteCond %{HTTP:x-sakura-forwarded-for} !^$ 44 # RewriteRule ^(.*) - [E=HTTPS:on] 45 46 RewriteRule "^.git" - [F] 47 RewriteRule "^src/" - [F] 48 RewriteRule "^app/" - [F] 49 RewriteRule "^tests/" - [F] 50 RewriteRule "^var/" - [F] 51 RewriteRule "^vendor/" - [F] 52 RewriteRule "^node_modules/" - [F] 53 RewriteRule "^codeception/" - [F] 54 RewriteRule "^bin/" - [F] 55 RewriteRule "^dockerbuild/" - [F] 56 57 RewriteCond %{REQUEST_FILENAME} !-f 58 RewriteCond %{REQUEST_FILENAME} !^(.*).(gif|png|jpe?g|css|ico|js|svg|map)$ [NC] 59 RewriteRule ^(.*)$ index.php [QSA,L] 60</IfModule> 61 62# 管理画面へのBasic認証サンプル 63# 64# AuthType Basic 65# AuthName "Please enter username and password" 66# AuthUserFile /path/to/.htpasswd 67# AuthGroupFile /dev/null 68# require valid-user 69# 70# SetEnvIf Request_URI "^/admin" admin_path # ^/adminは, 管理画面URLに応じて変更してください 71# <RequireAll> 72# Require all granted 73# Require not env admin_path 74# </RequireAll># 75
そちらでも質問は投げさせていただいてます
マルチポストは正しくマルチポストをしましょう
マルチポストなのをわからないようにマルチポストをする場合は、ネチケット違反です。
このサイトの利用時はマルチポストは非推奨となっています。
そうなのですね。。しらずにすみませんでした。削除します
回答2件
0
とりあえず対応のバッドノウハウですが・・・
自サイト内へのリクエストに関しては、HTTP Response HeaderでContent-Security-Policy: upgrade-insecure-requests;を指定してブラウザにhttpsでのリクエストを行ってもらう手もあります。
(developer.mozilla.org)CSP: upgrade-insecure-requests
<IfModule mod_headers.c> # クリックジャッキング対策 Header always set X-Frame-Options SAMEORIGIN # Mixed Content 対策 Header always set Content-Security-Policy "upgrade-insecure-requests;" # XSS対策 Header set X-XSS-Protection "1; mode=block" Header set X-Content-Type-Options nosniff </IfModule>
投稿2019/09/19 01:40
総合スコア7918
0
ブラウザのコンソールを開いたらどのファイルがHTTPアクセスになっているか確認できますので、それを確認して、HTTP作り付けになっていないか調べてみましょう。
投稿2019/09/19 01:05
総合スコア145971
早々にご回答頂きありがとうございます。
そちらは確認しているのですが、
sample.com/admin/orderなど、POSTが絡んでくるところがhttpとして表示され、httpsにする方法がわかりません。。
サイト表示上
<form name="search_form" id="search_form" method="POST" action="http://sample.com/admin/order">
twigファイル上
<form name="search_form" id="search_form" method="post" action="">
となると、EC-CUBE内の設定でサイトドメインなどをHTTPSとして設定する必要があるのかもしれません。
あなたの回答
tips
プレビュー
