Come faccio a sapere se sono interessato da questo bug?

L'errore esatto è SecurityError: Failed to execute 'getImageData' on 'CanvasRenderingContext2D': The canvas has been tainted by cross-origin data. Appare sulle schede prodotto in back-office quando sei in multinegozio con più domini diversi. Apri la console del browser — se vedi tainted canvas + una chiamata a Dropzone, è questo bug.

Perché PrestaShop nativo ha questo bug?

Quando modifichi un prodotto nel back-office di un negozio del dominio A, ma quel prodotto è associato al negozio del dominio B, le sue immagini vengono servite dal dominio B (HTTPS di B). Per il browser, è una richiesta cross-origin — a meno che B non invii gli header CORS corretti, cosa che quasi mai accade per le immagini native di PrestaShop. Risultato: il canvas che serve a generare l'anteprima Dropzone viene «tainted» e getImageData lancia un SecurityError che fa crashare l'editor.

C'è una configurazione?

Veramente niente. Installa lo ZIP, attiva il modulo — è tutto. Nessuna tabella creata, nessuna configurazione, nessun parametro. Il file JS viene caricato solo sui controller prodotto (AdminProducts per la modalità legacy e admin_products_v2 per il nuovo editor Symfony) per non aggiungere nulla altrove.

C'è un rischio per i miei dati?

Nessuno. Il modulo non scrive nulla in database, non tocca le tue immagini, non modifica i tuoi prodotti. Aggiunge solo uno script JS nell'header del back-office sulle pagine prodotto. Lo script si limita a riscrivere gli URL cross-origin prima di Dropzone — se Dropzone non è presente (altra pagina), il patch non si applica.

Resta funzionante dopo i futuri aggiornamenti PrestaShop?

Il patch di Dropzone viene ri-applicato ad ogni caricamento di pagina prodotto, quindi sì, funziona con il tuo prossimo aggiornamento PrestaShop 8.x finché il metodo Dropzone.prototype.displayExistingFile esiste (cosa che vale in tutta la branch 8.x). Se PrestaShop integra nativamente il fix in un aggiornamento futuro, il modulo resta senza effetto negativo (il patch sarà semplicemente ridondante e innocuo).

Compatibile con il mio tema?

Sì. Il modulo non ha alcuna interazione con il front-office, è un correttivo 100% back-office. Qualunque sia il tuo tema (Classic, Hummingbird, custom), funziona senza modifiche.

Posso disattivare il fix in qualsiasi momento?

Sì, puoi disattivare il modulo in qualsiasi momento dal gestore moduli. Il bug riapparirà immediatamente sulle schede prodotto cross-domain, ma nessuna traccia resta in database.

Se non sono in multinegozio, ho bisogno del modulo?

Se il tuo negozio è mono-negozio, o in multinegozio su un solo dominio (con sotto-directory invece di sottodomini), non hai il bug e quindi non hai bisogno del fix. Ma se un giorno passi alla configurazione multi-domini, il modulo sarà pronto all'uso senza intervento.

DataFirefly Fix Dropzone CORS — Bug tainted canvas multinegozio PrestaShop 8

Q: Come funziona il fix?

Il modulo fa monkey-patch di Dropzone.prototype.displayExistingFile lato client. Prima che Dropzone carichi l'immagine, si intercetta l'URL: se è cross-origin, si riscrive il suo protocollo e host verso window.location.origin (il dominio del back-office corrente). Il browser carica quindi l'immagine dalla stessa origine del BO, il canvas resta «pulito» e getImageData funziona. È esattamente la stessa strategia del patch upstream PrestaShop per Dropzone.vue.

DataFirefly Fix Dropzone CORS — Correttivo tainted canvas multinegozio PrestaShop 8

Il correttivo definitivo per il bug «tainted canvas» sull'editor prodotto in multinegozio multi-domini.

Se sei su PrestaShop 8 in multinegozio con più domini diversi (negozio-it.com, negozio-en.com, ecc.), probabilmente hai già visto questo errore nella console del browser modificando una scheda prodotto: SecurityError: tainted canvas. Il form immagini si rompe, l'anteprima Dropzone non si visualizza più, e sei bloccato. È un bug noto di PrestaShop: le immagini vengono servite da un altro dominio, il canvas diventa cross-origin, e getImageData esplode. DataFirefly Fix Dropzone CORS risolve il problema con monkey-patch di Dropzone lato client: gli URL delle immagini esistenti vengono riscritti verso il dominio del back-office prima del caricamento, il canvas resta pulito, l'editor funziona. Install → attivato → niente più bug. Nessuna configurazione, nessuna tabella, 70 righe di JS.

PrestaShop 8.0+ Multinegozio multi-domini Fix nativo Zero config 1 file JS Senza DB

Rimborso 30 giorni

12 mesi di aggiornamenti

Supporto 24h

La versione lunga

Tutto quello che vorresti sapere prima di installare.

Uno sguardo dettagliato su come funziona DataFirefly Fix Dropzone CORS — Correttivo tainted canvas multinegozio PrestaShop 8, perché l'abbiamo progettato così, e il ragionamento dietro le funzionalità qui sopra.

§ 01

Il bug, in chiaro

Sei su PrestaShop 8 in multinegozio, con più domini diversi — per esempio negozio-it.com per l'Italia e negozio-en.com per l'Inghilterra, ciascuno con il proprio certificato HTTPS. Apri il back-office da negozio-it.com e clicchi su un prodotto associato al negozio inglese. Le immagini di questo prodotto vengono servite da negozio-en.com, perché è il dominio canonico di quel negozio. Per il browser, è una risorsa cross-origin — e poiché le immagini PrestaShop native non inviano i giusti header CORS (Access-Control-Allow-Origin), il canvas che deve generare l'anteprima Dropzone si trova «tainted». Alla prossima chiamata a ctx.getImageData, il browser lancia un SecurityError, l'editor Dropzone crasha, e il form prodotto diventa inutilizzabile per la zona immagini. Errore console: main.bundle.js:274 Uncaught SecurityError: Failed to execute 'getImageData' on 'CanvasRenderingContext2D': The canvas has been tainted by cross-origin data. at main.bundle.js:274:137430 at L (main.bundle.js:274:137535) at main.bundle.js:274:123939 at o (main.bundle.js:274:123147) at l.onload (main.bundle.js:274:123297)

§ 02

Perché questo bug è reale e importante

Molti negozi multi-domini convivono con questo bug da tempo evitando di editare in cross-domain (collegandosi sempre al «giusto» dominio per ogni prodotto). Ma in una vera organizzazione di team — catalogo gestito da una sola persona, più sotto-negozi internazionali — è insostenibile. PrestaShop ha un correttivo ufficiale su Dropzone.vue in alcune versioni del nuovo editor Symfony, ma il bug persiste sul vecchio editor AdminProducts e non viene sempre retroportato sulle versioni stabili. Il nostro modulo risolve il problema su entrambi gli editor contemporaneamente.

§ 03

Come funziona il fix tecnicamente

Al caricamento di una pagina prodotto del back-office, il modulo inietta un file JS di 70 righe nell'header tramite l'hook displayBackOfficeHeader. Lo script attende che window.Dropzone sia definito, poi sostituisce Dropzone.prototype.displayExistingFile con una versione intercettata. Questa versione esamina l'URL ricevuto: se è cross-origin, lo parsa con new URL(url), forza u.protocol e u.host a quelli di window.location.origin, ricompone l'URL e lo passa al metodo originale. Risultato lato browser: Dropzone riceve un URL same-origin, il canvas resta «clean», getImageData funziona, il file immagine esistente si visualizza normalmente nel drag & drop. Il patch è idempotente (un flag __dfCorsPatched impedisce la doppia applicazione) e fail-safe (gli URL non validi tornano al comportamento originale).

§ 04

Perché non un patch core o un override

Un override di PrestaShop sul controller prodotto sarebbe fragile: si romperebbe ad ogni aggiornamento maggiore, e il codice Dropzone non è nel controller PHP. Una modifica diretta del file JS di Dropzone verrebbe sovrascritta ad ogni aggiornamento. Il monkey-patch lato client, invece, è totalmente non invasivo: nessun file PrestaShop viene modificato, nessun core override viene posato, il patch si applica al runtime dall'esterno. Se PrestaShop aggiorna Dropzone o la sua integrazione, il patch resta funzionale finché la firma di displayExistingFile non cambia (cosa estremamente stabile da Dropzone 5.x). Se il metodo cambia o se PrestaShop corregge nativamente, puoi disinstallare il modulo senza alcuna traccia residua.

§ 05

Casi d'uso

Negozio multi-paese con un dominio per mercato (negozio-it.com / negozio-en.com / negozio-es.com) gestito da un team centralizzato — il bug blocca la modifica prodotto in cross-domain, il modulo lo risolve immediatamente. Marketplace o rete di brand in modalità multinegozio multi-domini — stessa configurazione, stessa soluzione. Team di agenzia che gestisce più sotto-negozi clienti su domini distinti — il modulo rende il back-office utilizzabile normalmente senza dover saltellare tra domini. Migrazione da mono-negozio a multi-domini — installato preventivamente, il modulo evita la brutta sorpresa post-migrazione.

PrestaShop

WordPress / WooCommerce

Shopware 6

DataFirefly Fix Dropzone CORS — Correttivo tainted canvas multinegozio PrestaShop 8

L' versione breve.

Risolve il bug tainted canvas multinegozio

Monkey patch elegante e minimalista

Zero footprint, zero config

Niente bricolage del nucleo

Tutto quello che vorresti sapere prima di installare.

Il bug, in chiaro

Perché questo bug è reale e importante

Come funziona il fix tecnicamente

Perché non un patch core o un override

Casi d'uso

L' elenco completo.

Cosa è rilasciato.

L' note in piccolo.

Licenza & consegna

Compatibilità

Cosa utenti reali dicono.

Qualsiasi cosa ancora poco chiara?

Fai una domanda

DataFirefly Fix Dropzone CORS — Correttivo tainted canvas multinegozio PrestaShop 8

Risolve il bug tainted canvas multinegozio

Monkey patch elegante e minimalista

Zero footprint, zero config

Niente bricolage del nucleo

Il bug, in chiaro

Perché questo bug è reale e importante

Come funziona il fix tecnicamente

Perché non un patch core o un override

Casi d'uso

Licenza & consegna

Compatibilità

Moduli spesso acquistati insieme.