Javítás: ERR_BLOCKED_BY_XSS_AUDITOR

A Chrome folyamatosan aktív fejlesztés alatt áll, hébe-hóba kiadott új verziókkal, amelyek új funkciókat és biztonsági fejlesztéseket tartalmaznak. A Chrome-ot nem csak böngészésre használják; sok webes szolgáltatáshoz is használják, amelyeket a fejlesztők igénybe vesznek.

A legutóbbi Chrome 57-es összeállítással az XSS auditor észlelése jelentősen javult. Új irányelveket állítottak be, amelyek miatt a webszolgáltatások nem működtek, és „ERR_BLOCKED_BY_XSS_AUDITOR ” hibaüzenetet adtak .

Ezt a hibaüzenetet akkor okozza, amikor a kérelem belsejében HTML-tartalmat küldenek POST módszerrel. A Google Chrome rendelkezik egy XSS biztonsági funkcióval, amely mindig elemzi az űrlapokon keresztül beküldött HTML-t, és blokkolja ezeket a kéréseket. Így az űrlapokat soha nem küldik el, és elkerülik az XSS kihasználásait.

Mi okozza az 'ERR_BLOCKED_BY_XSS_AUDITOR' hibaüzenetet a Chrome-ban?

Mint korábban említettük, a Chrome nemrégiben készített verziója átalakította az XSS Auditor alkalmazást, így az XSS biztonsági réseit nem használják ki. Emiatt előfordulhat, hogy megkapja a hibaüzenetet, ha nem megfelelően frissítette a forráskódot.

Legtöbbször hamis pozitív van, ha a böngésző úgy véli, hogy egy „webhelyek közötti scripting” támadást kényszerítenek. Ezek a támadások elsősorban akkor fordulnak elő, amikor a böngészőt becsapják JavaScript vagy HTML megjelenítésére, amely nem része a webhely megjelenítési aspektusának.

Megoldás (Ha Ön felügyeli a weboldalt)

Ha Ön webhely rendszergazda, és ez a hibaüzenet akkor jelenik meg, amikor rendesen használja, megpróbálhatja eltávolítani, ha néhány fejlécet ad hozzá a POST fejlécekhez. Ez egy ideiglenes javítás, amíg nem talál megfelelő alternatívát, amely megfelelően kezeli az XSS Auditor kérését.

PHP

Adja hozzá a következő fejlécet a PHP fájljához:

fejléc ('X-XSS-Protection: 0');

ASP.NET

Itt ideiglenesen letiltjuk az XSS védelmet, amíg hozzá nem tudja adni a megfelelő kezelőt a forráskódjához.

HttpContext.Response.AddHeader ("X-XSS-Protection", "0");

Ha konfigurálja a Web.Config fájlt, akkor a következő kódot adhatja hozzá:

                                         [...]

ASP.NET kiszolgáló érvényesítés kérése

Bizonyos esetekben a szerver akkor is elutasítja a POST kérést, ha hozzáadtuk a szükséges fejlécet. Egy másik megoldás a „ Request.Unvalidated ” használata, amely egy olyan objektum lesz, amelyet kifejezetten a „nem biztonságos” adatkérés megszerzésének kezelésére hoztak létre.

var code = Request.Unvalidated.Form ["code"];

Ez valószínűleg csak az ASP.NET Request Validation esetében működik .

Ha webes űrlapokat használ , használhatja:


  

Ha Ön MVC-t használ, használhatjuk a „ [ValidateInput (false)] ” kifejezést, amely a vezérlő egyik attribútuma. Ez az érvényesítés megakadályozása érdekében történik.

[ValidateInput (false)] public ActionResult Convert (CodeRequest kérés) {...}

IIS HttpRuntime Settings

Az IIS Express-t a Visual studio használja webszolgáltatásokhoz, és ez a mai napig az egyik leggyakrabban használt architektúra. Amikor ASP.NET-t használ, az IIS blokkolhatja a kérését, még mielőtt az ASP.NET átvenné az irányítást. Megpróbáljuk ezt kikapcsolni a web.config fájlban, és megpróbáljuk megszerezni a régi viselkedést a következő kód használatával:


  

Ha ezt nem tesszük meg, akkor az IIS kudarcot vall, és elutasítja a kérést, még mielőtt azt továbbadnák az ASP.NET-hez.

Megjegyzés: Ezek a megoldások jó ötletek, ha a webhelye nem érhető el és veszteséget okoz Önnek. Meg kell mindig módosíthatja a forráskódot, így tudja kezelni a XSS Auditor megfelelően. Csak ideiglenesen használja ezeket, amíg ki nem tudja találni a megfelelő javítást.

Megoldás (ha nem Ön kezeli a weboldalt)

Ha Ön rendszeres felhasználó, és nincs hozzáférése vagy adminisztrátora a webhelyhez, megpróbálhatja elindítani a Chrome-ot az XSS Auditor nélkül. Létrehozunk egy parancsikont a Google Chrome-ból, és hozzáadjuk a szükséges jelzőket, hogy állapotunkban elindítsuk.

  1. Kattintson a jobb gombbal az asztal bármely pontjára, és válassza az Új> Parancsikon lehetőséget .
  2. Most illessze be a következő kódsorokat a Google Chrome számítógépre telepített verziójának megfelelően.

64 bites Chrome-hoz

"C: \ Program Files \ Google \ Chrome \ Application \ chrome.exe" -disable-xss-auditor

32 bites Chrome-hoz

"C: \ Program Files (x86) \ Google \ Chrome \ Application \ chrome.exe" -disable-xss-auditor
  1. A Chrome parancsikon most létrejön. Most próbáljon meg belépni a webhelyre, és ellenőrizze, hogy a hibaüzenet megoldódott-e.

Megjegyzés: Ez a módszer letiltja az XSS Auditor alkalmazást a böngészőben, amely a biztonsági mechanizmus szerves része. Kérjük, folytassa saját felelősségére, és ajánlott csak ideiglenesen használni ezt a funkciót.