質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

90.03%

ECCUBE4系で一部SSL化されず、Mixed Contentになってしまいます。。

受付中

回答 2

投稿

  • 評価
  • クリップ 0
  • VIEW 163
退会済みユーザー

退会済みユーザー

下記、解決出来ずにいます。。ご教授お願い致します。。

ーーーー

[EC-CUBE] EC-CUBE4.0.3 新規インストール
[レンタルサーバ] konoha wing
[OS] Linux web0051.sh.tyo1 3.10.0-962.3.2.lve1.5.25.12.el7.x86_64
[PHP] 7.3.5
[データベース] MySQL 5.7.26-log
[WEBサーバ] Apache
[ブラウザ] googlechrome 76.0.3809.132
[導入プラグインの有無] 無
[カスタマイズの有無] 無
[現象]

konoha wingのレンタルサーバーを使い、独自SSL設定後、SSH接続にてEC-CUBE4.0.3のダウンロード&インストールを行いました。

インストールページや管理画面TOPとWEBページTOPに関してはSSLが有効になり、保護されたページが表示されます。ただ、その他のページはhttpsになっているもMixed Contentとなり、管理画面内での送料設定やカートの追加、プラグイン利用する為の認証キーの登録等が利用出来ない状態です。。

キャッシュクリアも試しましたが変化はありません。

ーーーーー

.htaccessはECCUBEからダウンロードした内容ままです。

DirectoryIndex index.php index.html .ht

<FilesMatch "^composer|^COPYING|^\.env|^\.maintenance|^Procfile|^app\.json|^gulpfile\.js|^package\.json|^package-lock\.json|web\.config|^Dockerfile|\.(ini|lock|dist|git|sh|bak|swp|env|twig|yml|yaml|dockerignore)$">
    order allow,deny
    deny from all
</FilesMatch>

<Files ~ "index.php">
    order deny,allow
    allow from all
</Files>

<IfModule mod_headers.c>
    # クリックジャッキング対策
    Header always set X-Frame-Options SAMEORIGIN

    # XSS対策
    Header set X-XSS-Protection "1; mode=block"
    Header set X-Content-Type-Options nosniff
</IfModule>

# デザインテンプレートを適用するため10Mで設定
<IfModule mod_php7.c>
    php_value upload_max_filesize 10M
</IfModule>



<IfModule mod_rewrite.c>
    #403 Forbidden対応方法
    #ページアクセスできない時シンボリックリンクが有効になっていない可能性あります、
    #オプションを追加してください
    #Options +FollowSymLinks +SymLinksIfOwnerMatch

    RewriteEngine On


    # Authorization ヘッダが取得できない環境への対応
    RewriteCond %{HTTP:Authorization} ^(.*)
    RewriteRule ^(.*) - [E=HTTP_AUTHORIZATION:%1]

    # さくらのレンタルサーバでサイトへのアクセスをSSL経由に制限する場合の対応
    # RewriteCond %{HTTP:x-sakura-forwarded-for} !^$
    # RewriteRule ^(.*) - [E=HTTPS:on]

    RewriteRule "^\.git" - [F]
    RewriteRule "^src/" - [F]
    RewriteRule "^app/" - [F]
    RewriteRule "^tests/" - [F]
    RewriteRule "^var/" - [F]
    RewriteRule "^vendor/" - [F]
    RewriteRule "^node_modules/" - [F]
    RewriteRule "^codeception/" - [F]
    RewriteRule "^bin/" - [F]
    RewriteRule "^dockerbuild/" - [F]

    RewriteCond %{REQUEST_FILENAME} !-f
    RewriteCond %{REQUEST_FILENAME} !^(.*)\.(gif|png|jpe?g|css|ico|js|svg|map)$ [NC]
    RewriteRule ^(.*)$ index.php [QSA,L]
</IfModule>

# 管理画面へのBasic認証サンプル
#
#     AuthType Basic
#     AuthName "Please enter username and password"
#     AuthUserFile /path/to/.htpasswd
#     AuthGroupFile /dev/null
#     require valid-user
#
#     SetEnvIf Request_URI "^/admin" admin_path  # ^/adminは, 管理画面URLに応じて変更してください
# <RequireAll>
#     Require all granted
#     Require not env admin_path
# </RequireAll>#
  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

質問への追記・修正、ベストアンサー選択の依頼

  • asahina1979

    2019/09/19 12:12

    公式サイトのフォーラムのほうがEC-CUBEだけに特化した有識者が多いのですが避けた理由はなんですか?

    キャンセル

  • 退会済みユーザー

    退会済みユーザー

    2019/09/19 12:55

    そちらでも質問は投げさせていただいてます

    キャンセル

  • asahina1979

    2019/09/19 13:35

    マルチポストは正しくマルチポストをしましょう

    マルチポストなのをわからないようにマルチポストをする場合は、ネチケット違反です。
    このサイトの利用時はマルチポストは非推奨となっています。

    キャンセル

  • 退会済みユーザー

    退会済みユーザー

    2019/09/19 14:33

    そうなのですね。。しらずにすみませんでした。削除します

    キャンセル

回答 2

0

ブラウザのコンソールを開いたらどのファイルがHTTPアクセスになっているか確認できますので、それを確認して、HTTP作り付けになっていないか調べてみましょう。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2019/09/19 10:18

    早々にご回答頂きありがとうございます。
    そちらは確認しているのですが、
    sample.com/admin/orderなど、POSTが絡んでくるところがhttpとして表示され、httpsにする方法がわかりません。。

    サイト表示上
    <form name="search_form" id="search_form" method="POST" action="http://sample.com/admin/order">

    twigファイル上
    <form name="search_form" id="search_form" method="post" action="">

    キャンセル

  • 2019/09/19 10:23

    となると、EC-CUBE内の設定でサイトドメインなどをHTTPSとして設定する必要があるのかもしれません。

    キャンセル

0

とりあえず対応のバッドノウハウですが・・・

自サイト内へのリクエストに関しては、HTTP Response HeaderでContent-Security-Policy: upgrade-insecure-requests;を指定してブラウザにhttpsでのリクエストを行ってもらう手もあります。

(developer.mozilla.org)CSP: upgrade-insecure-requests

<IfModule mod_headers.c>
    # クリックジャッキング対策
    Header always set X-Frame-Options SAMEORIGIN

    # Mixed Content 対策
    Header always set Content-Security-Policy "upgrade-insecure-requests;"

    # XSS対策
    Header set X-XSS-Protection "1; mode=block"
    Header set X-Content-Type-Options nosniff
</IfModule>

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

15分調べてもわからないことは、teratailで質問しよう!

  • ただいまの回答率 90.03%
  • 質問をまとめることで、思考を整理して素早く解決
  • テンプレート機能で、簡単に質問をまとめられる