Описание
API Drupal AJAX по умолчанию не отключает JSONP, что может привести к созданию межсайтовых сценариев.
Решение
Установите последнюю версию:
Если вы используете Drupal 7.x, обновление до Drupal 7.73.
Если вы используете Drupal 8.8.x, обновление до Drupal 8.8.10.
Если вы используете Drupal 8.9.x, обновление до Drupal 8.9.6.
Если вы используете Drupal 9.0.x, обновление до Drupal 9.0.6.
Версии Drupal 8 до версии 8.8.x находятся в конце срока службы и не получают покрытия безопасности. Сайты на 8.7.x или более ранняя версия должна обновиться до версии 8.8.10.
Если вы ранее полагались на AJAX API Drupal для выполнения доверенных запросов JSONP , вам нужно будет либо переопределить параметры AJAX для установки"jsonp: true"
, либо использовать jQuery AJAX API напрямую.
Если вы используете AJAX API jQuery для предоставленных Пользователем URL-адресов в contrib или пользовательском модуле, вам следует просмотреть свой код и установить"jsonp: false"
, где это уместно.
Сайты Drupal 7 также должны передавать такие URL-адреса через новую Drupal.sanitizeAjaxUrl()
функцию.