Chrome постійно перебуває в активному розвитку, з кожним часом випускаються нові версії, які включають нові функції та покращення безпеки. Chrome використовується не лише для перегляду; він також використовується для багатьох веб-сервісів, якими користуються розробники.

ERR_BLOCKED_BY_XSS_AUDITOR в Chrome

З недавньою версією Chrome 57, виявлення аудитора XSS значно покращилось. Вони встановили нові вказівки, завдяки яким веб-сервіси перестали працювати і дали повідомлення про помилку "ERR_BLOCKED_BY_XSS_AUDITOR ".

Це повідомлення про помилку виникає, коли вміст HTML надсилається через метод POST всередині запиту. Google Chrome має функцію безпеки XSS, яка завжди аналізує HTML, що надходить через форми, і блокує ці запити. Таким чином, форми ніколи не надсилаються і уникають подвигів XSS.

Що викликає повідомлення про помилку "ERR_BLOCKED_BY_XSS_AUDITOR" у Chrome?

Як і згадувалося раніше, нещодавнє складання Chrome оновило ревізор XSS, щоб вразливості XSS не використовувалися. Через це ви можете отримати повідомлення про помилку, якщо ви не оновили відповідний вихідний код.

Більшість випадків є хибним позитивом, коли браузер вважає, що атака "міжсайтового сценарію" змушена. Ці атаки в основному трапляються, коли браузер обманює перегляд JavaScript або HTML, які не є частиною аспекту відображення веб-сайту.

Рішення (якщо ви адмініструєте веб-сайт)

Якщо ви адміністратор веб-сайту, і це повідомлення про помилку виникає при звичайному використанні, ви можете спробувати його видалити, додавши кілька заголовків сторінок у заголовки POST. Це тимчасове виправлення, поки ви не зможете знайти належну альтернативу, яка належним чином обробляє запит XSS Auditor.

PHP

Додайте наступний заголовок у файл PHP:

 заголовок ('X-XSS-захист: 0'); 

ASP.NET

Тут ми тимчасово відключаємо захист XSS, поки ви не зможете додати належний обробник у вихідний код.

 HttpContext.Response.AddHeader ("X-XSS-захист", "0"); 

Якщо ви налаштовуєте файл Web.Config, ви можете замість цього додати наступний код:

 [...] 

ASP.NET Сервер перевірки запиту

У деяких випадках сервер буде відхиляти запит POST, навіть якщо ми додали необхідний заголовок. Іншим вирішенням є використання " Request.Unvalified ", який буде об'єктом, створеним спеціально для обробки запиту "небезпечних" даних.

 var code = Request.Unvalidated.Form ["код"]; 

Це, ймовірно, буде працювати лише для перевірки запиту ASP.NET .

Якщо ви використовуєте веб-форми, ви можете використовувати:

Якщо ви використовуєте MVC, ми можемо використовувати " [ValidateInput (false)] ", який є атрибутом контролера. Це робиться для запобігання перевірки.

 [ValidateInput (false)] громадський перетворення ActionResult (запит CodeRequest) {...} 

Налаштування HttpRuntime IIS

IIS Express використовується Visual studio для веб-сервісів і є однією з найбільш використовуваних архітектур на сьогодні. Коли ви використовуєте ASP.NET, IIS може заблокувати ваш запит ще до того, як ASP.NET отримає контроль. Ми спробуємо вимкнути це в web.config і спробуємо отримати стару поведінку, використовуючи наступний код:

Якщо ми цього не зробимо, IIS відмовиться та відхилить запит ще до того, як він буде переданий на ASP.NET.

Примітка. Ці обхідні шляхи є гарною ідеєю, якщо ваш веб-сайт недоступний і спричинює вам збитки. Ви завжди повинні змінювати свій вихідний код, щоб мати змогу належним чином працювати з ревізором XSS. Використовуйте їх лише тимчасово, поки не зможете виправити належне виправлення.

Рішення (якщо ви не адмініструєте веб-сайт)

Якщо ви звичайний користувач і не маєте доступу чи адміністрування веб-сайту, можете спробувати запустити Chrome без ревізора XSS. Ми створимо ярлик Google Chrome і додамо необхідні прапори, щоб запустити його в нашому стані.

1. Клацніть правою кнопкою миші будь-де на робочому столі та виберіть Створити> Ярлик .
2. Тепер вставте наступні рядки коду відповідно до версії Google Chrome, встановленої на вашому комп’ютері.

Для 64-розрядних Chrome

 "C: \ програмні файли \ Google \ Chrome \ Application \ chrome.exe" -disable-xss-auditor 

Для 32-бітного Chrome

 "C: \ програмні файли (x86) \ Google \ Chrome \ Application \ chrome.exe" -disable-xss-auditor 

Відкриття Chrome із ревізором XSS вимкнено

3. Тепер буде створено ваш ярлик Chrome. Тепер спробуйте зайти на веб-сайт і перевірити, чи вирішено повідомлення про помилку.

Примітка. Цей метод вимикає ревізор XSS у вашому браузері, який є невід'ємною частиною механізму захисту. Будь ласка, продовжуйте на свій страх і ризик, і рекомендується використовувати цю функцію лише тимчасово.