关于javascript ajax帖子的Http 406错误。接受标头设置以接受所有
当我尝试发出一个我无法弄清楚的AJAX请求时,我从服务器收到错误。这是HTTP 406错误。据我所知,这意味着服务器无法以Accept标头指示的格式发送响应。但从我所看到的情况来看,我Accept */*(通配符)。
您可以在此图片中查看我的HTTP请求的详细信息。
http://i.stack.imgur.com/fTfBf.png
这是我的页面的PHP代码:
<body>
<div id="container">
(snip - menu and header)
<div id="notify-saved">
<div class="width">
<span>Saved!</span>
</div>
</div>
<div id="confirm-delete">
<div id="confirm-delete-content" class="width">
</div>
</div>
<div id="nav-separator">
</div>
<div id="body" class="width">
<section id="content">
<br />
<form method="POST" id='template-form' action="post-actions.php" >
<input type='hidden' name='id' value="15" />
<input type='text' name='name' value="default-scripting" placeholder='Name' />
<br />
<br />
<input type='checkbox' name='major' id="majorminor" />
<textarea name='value' style="width:100%;"><script src="http://ajax.googleapis.com/ajax/libs/jquery/2.1.1/jquery.min.js"></script></textarea>
<br />
<br />
<button name='action' value="Update Template" id='update-button' >Update</button>
</form>
</section>
</div>
</div>
</body>
使用Javascript:
// Attach a submit handler to the form
$( "#update-button" ).click( function( event ) {
// Stop form from submitting normally
event.preventDefault();
// Get some values from elements on the page:
var $form = $('#template-form');
var template_id = $form.find( "input[name='id']" ).val();
var template_name = $form.find( "input[name='name']" ).val();
var template_value = $form.find( "textarea[name='value']" ).val();
var template_is_major = 'minor';
if( $( "input[name='major']" ).prop('checked') ){
template_is_major = "major";
}
var url = $form.attr( "action" );
// Send the data using post
var posting = $.post( url, { id: template_id, name: template_name, value: template_value, major: template_is_major, action: "Update Template" } );
// Show that the request has completed successfully
posting.done(function( data ) {
$('#notify-saved').slideDown(200).delay(500).slideUp(500);
});
});
同样相关的是,此错误仅在某些时间发生,例如,如果提交的模板值为
<script src="http://ajax.googleapis.com/ajax/libs/jquery/2.1.1/jquery.min.js"></script>
然后会出现错误,但如果省略前导<,则没有错误:
script src="http://ajax.googleapis.com/ajax/libs/jquery/2.1.1/jquery.min.js"></script>
接收php看起来像这样(post-actions.php):
<?php
// ugly-@$$ anti-magicquotes hackk
if (get_magic_quotes_gpc()) {
$process = array(&$_GET, &$_REQUEST, &$_COOKIE, &$_REQUEST);
while (list($key, $val) = each($process)) {
foreach ($val as $k => $v) {
unset($process[$key][$k]);
if (is_array($v)) {
$process[$key][stripslashes($k)] = $v;
$process[] = &$process[$key][stripslashes($k)];
} else {
$process[$key][stripslashes($k)] = stripslashes($v);
}
}
}
unset($process);
}
require_once('database.php');
$dbo = new Database();
if( isset( $_REQUEST['action'] ) ){
switch( $_REQUEST['action'] ){
(snip - many irrelevant cases)
case "Update Template":
$dbo->UpdateTemplate( $_REQUEST[DB_TEMPLATES_ID], $_REQUEST[DB_TEMPLATES_NAME],
$_REQUEST[DB_TEMPLATES_VALUE], $_REQUEST[DB_TEMPLATES_MAJOR] );
break;
}
}
数据库类:
<?php
require_once ("config.php");
require_once ("database-contract.php");
class Database {
protected $db;
protected $pdo;
function __construct(){
$this->db = new mysqli(DB_HOST, DB_USER, DB_PASS, DB_NAME);
if($this->db->connect_errno > 0){
die('Unable to connect to database [' . $this->db->connect_error . ']');
}
$this->pdo = new PDO('mysql:host='.DB_HOST.';dbname='.DB_NAME.';charset=utf8', DB_USER, DB_PASS );
$this->pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
$this->pdo->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);
}
function __destruct(){
$this->db->close();
$this->pdo = null;
}
$query = 'INSERT INTO `'.DB_TEMPLATES.'` ( `'.DB_TEMPLATES_NAME.'` ) VALUES ( :name )';
$stmt = $this->pdo->prepare($query);
$stmt->bindValue(":name", $name, PDO::PARAM_INT);
$stmt->execute();
}
function updateTemplate($id, $name, $value, $major ){
if( $major == "major" ){ $major = 1; }
else{ $major = 0; }
$query = 'UPDATE `'.DB_TEMPLATES.'`
SET
`'.DB_TEMPLATES_NAME.'`=:name,
`'.DB_TEMPLATES_VALUE.'`=:value,
`'.DB_TEMPLATES_MAJOR.'`=:major
WHERE
`'.DB_TEMPLATES_ID.'`=:id';
$stmt = $this->pdo->prepare($query);
$stmt->bindValue(":name", $name, PDO::PARAM_STR );
$stmt->bindValue(":value", $value, PDO::PARAM_STR );
$stmt->bindValue(":major", $major, PDO::PARAM_INT );
$stmt->bindValue(":id", $id, PDO::PARAM_INT );
$stmt->execute();
}
$query = ' DELETE FROM '.DB_TEMPLATES.'
WHERE
'.DB_TEMPLATES_ID.'=:id';
$stmt = $this->pdo->prepare($query);
$stmt->bindValue(":id", $id, PDO::PARAM_INT);
$stmt->execute();
}
(snip - irrelevant functions)
}
在此过程中的某些方面,我原本以为这可能是一个字符编码问题,但我不再认为了。也许是一些奇怪的角色逃避问题? SO上的其他帖子似乎表明它是apache的mod_security的配置问题/(功能?)。我尝试过禁用一些不同的东西,但是这些都没有用,现在我只是感到茫然不知所措。
感谢您的帮助。
2 个答案:
答案 0 :(得分:3)
你有一个406的事实,以及这是基于 script 之前<的存在这一事实,直接导致了一个安全过滤器。因此, mod_security 和 apache 配置文件比js / php代码更有用,可以找到根阻止规则。
这看起来像一个反xss过滤器。也许是一个非常简单的:
SecFilter "<( |\n)*script"
如果您可以更改此mod_security配置,那么就这样做......或者不要。它是关于安全的。也许你应该保留这些过滤器,以保护你的应用程序真正不需要的脚本注入。也许真正的解决方案是您的官方应用程序表单应该管理与服务器的通信,而不是可疑 mod_security。在这里,你的POST对于一个只读取流并检测内部javascript调用的工具来说就像是一个Cross Site Scripting攻击。
例如,您可以在POSTed值(来自js)上添加base64编码并在PHP端解码结果,github上提供了一些base64编码js库。
实际上,您可以对数据应用任何转换,使这些数据无HTML(并且无Javascript),至少对于HTTP过滤工具而言。 Base64通常是解决方案,但检查使用的库如何管理utf-8字符的编码,真实 base64仅为ascii。
答案 1 :(得分:0)
我遇到了同样的问题,我会告诉你我是如何调试它并修复它的。
在我的情况下,我可以通过编写一些非常具体的内联css指令来重现禁止的响应(在html标记的style属性中)。
我分析了apache的错误日志文件(在我的情况下,它位于/usr/local/apache/logs/error_log并且仅通过我得到的响应代码进行过滤。
grep 406 error_log
解释说这是ModSecurity的规则,这就是它所说的:
[Mon Jan 02 13:21:10.394376 2017] [:error] [pid 12827:tid 139784907347712] [client 255.255.255.255] ModSecurity: Access denied with code 406 (phase 2). Pattern match "(?: (?:height|width) ?(?:=|\\\\:) ?[0-9] ?px|overflow ?: ?(?:auto|hidden)|style ?= ?\\"? ?display ?: ?none ?)" at ARGS:body. [file "/usr/local/apache/conf/modsec2/30_asl_antispam.conf"] [line "174"] [id "300076"] [rev "29"] [msg "Atomicorp.com WAF AntiSpam Rules: Hidden Text Detected"] [data " height:8px"] [severity "CRITICAL"] [hostname "my.website.mx"] [uri "/index.php"] [unique_id "WGqoJqwQ25oAADIbgkcAAAGP"]
我调查过如何禁用它,结果发现你可以在conf文件中添加它:
<Location "/">
SecRuleRemoveById 300076
</Location>
问题解决了我。请注意,如果要禁用多个规则,可以按空格分隔ID。
- 我写了这段代码,但我无法理解我的错误
- 我无法从一个代码实例的列表中删除 None 值,但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场?
- 是否有可能使 loadstring 不可能等于打印?卢阿
- java中的random.expovariate()
- Appscript 通过会议在 Google 日历中发送电子邮件和创建活动
- 为什么我的 Onclick 箭头功能在 React 中不起作用?
- 在此代码中是否有使用“this”的替代方法?
- 在 SQL Server 和 PostgreSQL 上查询,我如何从第一个表获得第二个表的可视化
- 每千个数字得到
- 更新了城市边界 KML 文件的来源?