Виправлення: ERR_BLOCKED_BY_XSS_AUDITOR
Chrome постійно перебуває в активному розвитку, з кожним часом випускаються нові версії, які включають нові функції та покращення безпеки. Chrome використовується не лише для перегляду; він також використовується для багатьох веб-сервісів, якими користуються розробники.
З недавньою версією Chrome 57, виявлення аудитора XSS значно покращилось. Вони встановили нові вказівки, завдяки яким веб-сервіси перестали працювати і дали повідомлення про помилку "ERR_BLOCKED_BY_XSS_AUDITOR ".
Це повідомлення про помилку виникає, коли вміст HTML надсилається через метод POST всередині запиту. Google Chrome має функцію безпеки XSS, яка завжди аналізує HTML, що надходить через форми, і блокує ці запити. Таким чином, форми ніколи не надсилаються і уникають подвигів XSS.
Що викликає повідомлення про помилку "ERR_BLOCKED_BY_XSS_AUDITOR" у Chrome?
Як і згадувалося раніше, нещодавнє складання Chrome оновило ревізор XSS, щоб вразливості XSS не використовувалися. Через це ви можете отримати повідомлення про помилку, якщо ви не оновили відповідний вихідний код.
Більшість випадків є хибним позитивом, коли браузер вважає, що атака "міжсайтового сценарію" змушена. Ці атаки в основному трапляються, коли браузер обманює перегляд JavaScript або HTML, які не є частиною аспекту відображення веб-сайту.
Рішення (якщо ви адмініструєте веб-сайт)
Якщо ви адміністратор веб-сайту, і це повідомлення про помилку виникає при звичайному використанні, ви можете спробувати його видалити, додавши кілька заголовків сторінок у заголовки POST. Це тимчасове виправлення, поки ви не зможете знайти належну альтернативу, яка належним чином обробляє запит XSS Auditor.
PHP
Додайте наступний заголовок у файл PHP:
заголовок ('X-XSS-захист: 0');
ASP.NET
Тут ми тимчасово відключаємо захист XSS, поки ви не зможете додати належний обробник у вихідний код.
HttpContext.Response.AddHeader ("X-XSS-захист", "0");
Якщо ви налаштовуєте файл Web.Config, ви можете замість цього додати наступний код:
[...]
ASP.NET Сервер перевірки запиту
У деяких випадках сервер буде відхиляти запит POST, навіть якщо ми додали необхідний заголовок. Іншим вирішенням є використання " Request.Unvalified ", який буде об'єктом, створеним спеціально для обробки запиту "небезпечних" даних.
var code = Request.Unvalidated.Form ["код"];
Це, ймовірно, буде працювати лише для перевірки запиту ASP.NET .
Якщо ви використовуєте веб-форми, ви можете використовувати:
Якщо ви використовуєте MVC, ми можемо використовувати " [ValidateInput (false)] ", який є атрибутом контролера. Це робиться для запобігання перевірки.
[ValidateInput (false)] громадський перетворення ActionResult (запит CodeRequest) {...}
Налаштування HttpRuntime IIS
IIS Express використовується Visual studio для веб-сервісів і є однією з найбільш використовуваних архітектур на сьогодні. Коли ви використовуєте ASP.NET, IIS може заблокувати ваш запит ще до того, як ASP.NET отримає контроль. Ми спробуємо вимкнути це в web.config і спробуємо отримати стару поведінку, використовуючи наступний код:
Якщо ми цього не зробимо, IIS відмовиться та відхилить запит ще до того, як він буде переданий на ASP.NET.
Примітка. Ці обхідні шляхи є гарною ідеєю, якщо ваш веб-сайт недоступний і спричинює вам збитки. Ви завжди повинні змінювати свій вихідний код, щоб мати змогу належним чином працювати з ревізором XSS. Використовуйте їх лише тимчасово, поки не зможете виправити належне виправлення.
Рішення (якщо ви не адмініструєте веб-сайт)
Якщо ви звичайний користувач і не маєте доступу чи адміністрування веб-сайту, можете спробувати запустити Chrome без ревізора XSS. Ми створимо ярлик Google Chrome і додамо необхідні прапори, щоб запустити його в нашому стані.
- Клацніть правою кнопкою миші будь-де на робочому столі та виберіть Створити> Ярлик .
- Тепер вставте наступні рядки коду відповідно до версії Google Chrome, встановленої на вашому комп’ютері.
Для 64-розрядних Chrome
"C: \ програмні файли \ Google \ Chrome \ Application \ chrome.exe" -disable-xss-auditor
Для 32-бітного Chrome
"C: \ програмні файли (x86) \ Google \ Chrome \ Application \ chrome.exe" -disable-xss-auditor
- Тепер буде створено ваш ярлик Chrome. Тепер спробуйте зайти на веб-сайт і перевірити, чи вирішено повідомлення про помилку.
Примітка. Цей метод вимикає ревізор XSS у вашому браузері, який є невід'ємною частиною механізму захисту. Будь ласка, продовжуйте на свій страх і ризик, і рекомендується використовувати цю функцію лише тимчасово.