Javítás: ERR_BLOCKED_BY_XSS_AUDITOR
A Chrome folyamatosan aktív fejlesztése alatt áll, minden időben megjelenik új verzió, hogy új funkciókat és biztonsági fejlesztéseket tartalmazzon. A Chrome-ot nem csak böngészéshez használják; sok olyan webszolgáltatáshoz is felhasználják, amelyeket a fejlesztők használnak.
A legutóbbi Chrome 57-ös verzióval az XSS auditor észlelése jelentősen javult. Új irányelveket állítottak fel, amelyek miatt a webszolgáltatások nem működtek, és „ERR_BLOCKED_BY_XSS_AUDITOR ” hibaüzenetet jelentettek .
Ezt a hibaüzenetet akkor okozza, amikor a HTML-tartalmat POST-módszerrel küldik el a kérésen belül. A Google Chrome rendelkezik egy XSS biztonsági funkcióval, amely mindig elemzi az űrlapokon keresztül benyújtott HTML-t, és blokkolja ezeket a kéréseket. Ilyen módon az űrlapokat soha nem küldik át, és elkerülhetők az XSS kihasználásai.
Mi okozza az 'ERR_BLOCKED_BY_XSS_AUDITOR' hibaüzenetet a Chrome-ban?
Mint fentebb említettem, a Chrome legutóbbi verziója megújította az XSS auditorot, így az XSS sebezhetőségét nem használják ki. Emiatt akkor kaphat hibaüzenetet, ha nem frissítette a forráskódot ennek megfelelően.
Leggyakrabban hamis pozitív eredmény van, amikor a böngésző úgy véli, hogy egy „site-scripting” támadást kényszerítenek. Ezek a támadások elsősorban akkor fordulnak elő, amikor a böngészőt becsapják JavaScript vagy HTML megjelenítésére, amelyek nem képezik részét a weboldal megjelenítési aspektusának.
Megoldás (ha adminisztrálja a weboldalt)
Ha Ön egy webhely rendszergazda, és ez a hibaüzenet akkor fordul elő, ha normál használatban van, akkor megpróbálhatja eltávolítani, ha néhány oldalfejlécet ad hozzá a POST fejlécekhez. Ez egy ideiglenes javítás, amíg nem kap egy megfelelő alternatívát, amely megfelelően kezeli az XSS Auditor kérését.
PHP
Adja hozzá a következő fejlécet a PHP fájlhoz:
fejléc ( 'X-XSS-Protection: 0');
ASP.NET
Itt ideiglenesen letiltjuk az XSS védelmet, amíg nem adhatja hozzá a megfelelő kezelőt a forráskódhoz.
HttpContext.Response.AddHeader ( "X-XSS-Protection", "0");
A Web.Config fájl konfigurálásakor a következő kódot adhatja hozzá:
[...]
ASP.NET Server kérelem érvényesítése
Bizonyos esetekben a szerver akkor is elutasítja a POST kérést, ha hozzáadtuk a szükséges fejlécet. Egy másik megoldás a „ Request.Unvalidated ” használata, amely kifejezetten a „nem biztonságos” adatkérés megszerzéséhez létrehozott objektum lesz.
var kód = Request.Unvalidated.Form ["code"];
Ez valószínűleg csak az ASP.NET kérés-érvényesítés esetén fog működni.
Webes űrlapok használata esetén használhatja:
Ha MVC-t használ, akkor használhatjuk a ' [ValidateInput (false)] ' ' elemet, amely a vezérlő egyik attribútuma. Ennek célja az érvényesítés megakadályozása.
[ValidateInput (false)] nyilvános ActionResult Convert (CodeRequest kérés) {...}
IIS HttpRuntime beállítások
Az IIS Express szolgáltatást a Visual stúdió használja webszolgáltatásokhoz, és ez a mai napig a leggyakrabban használt architektúrák. Ha ASP.NET-et használ, az IIS blokkolhatja a kérését még azelőtt, hogy az ASP.NET irányítást megszerezne. Megpróbáljuk ezt kikapcsolni a web.config fájlban, és megpróbáljuk a régi kódot a következő kóddal megszerezni:
Ha nem ezt tesszük meg, akkor az IIS kudarcot vall, és elutasítja a kérelmet, még mielőtt továbbadnák azt az ASP.NET-hez.
Megjegyzés: Ezek a megoldások jó ötlet, ha webhelyed elérhetetlen, és veszteséget okoz. Mindig módosítsa a forráskódot, hogy megfelelően kezelje az XSS auditorot. Csak ideiglenesen használja ezeket, amíg meg nem találja a megfelelő javítást.
Megoldás (ha nem kezeli a weboldalt)
Ha rendszeres felhasználó, és nincs hozzáférése a webhelyhez, vagy nem tudja azt kezelni, akkor megpróbálhatja elindítani a Chrome-t az XSS Auditor nélkül. Készítünk egy parancsikont a Google Chrome-ból, és hozzáadjuk a szükséges jelzőket, hogy állapotunkban elindítsuk.
- Kattintson a jobb gombbal az asztal bármelyik oldalára, és válassza az Új> Parancsikont .
- Most illessze be a következő kódsorokat a számítógépére telepített Google Chrome verziójának megfelelően.
64 bites Chrome-hoz
"C: \ Program Files \ Google \ Chrome \ Application \ chrome.exe" -disable-xss-auditor
32 bites Chrome-hoz
"C: \ Program Files (x86) \ Google \ Chrome \ Application \ chrome.exe" -disable-xss-auditor
- Most létrejön a Chrome parancsikonja. Most próbáljon meg belépni a webhelyre, és ellenőrizze, hogy a hibaüzenet megoldódott-e.
Megjegyzés: Ez a módszer letiltja az XSS Auditor alkalmazást a böngészőjében, amely a biztonsági mechanizmus szerves része. Kérjük, folytassa a saját felelősségét, és ajánlott, hogy ezt a funkciót csak ideiglenesen használja.