Oprava: ERR_BLOCKED_BY_XSS_AUDITOR
Chrome se neustále vyvíjí a nové verze jsou vydávány každou chvíli a zahrnují nové funkce a vylepšení zabezpečení. Chrome se používá nejen k prohlížení; používá se také pro mnoho webových služeb, které vývojáři využívají.
S nedávným sestavením prohlížeče Chrome 57 byla detekce auditorů XSS výrazně vylepšena. Měli nastaveny nové pokyny, díky nimž webové služby přestaly fungovat a daly chybovou zprávu „ERR_BLOCKED_BY_XSS_AUDITOR “.
Tato chybová zpráva je způsobena, když je obsah HTML odesílán metodou POST uvnitř požadavku. Google Chrome má funkci zabezpečení XSS, která vždy analyzuje odesílaný HTML prostřednictvím formulářů a blokuje tyto požadavky. Tímto způsobem se formuláře nikdy neposílají a vyhýbá se zneužití XSS.
Co způsobuje v prohlížeči Chrome chybová zpráva „ERR_BLOCKED_BY_XSS_AUDITOR“?
Jak bylo uvedeno výše, nedávné sestavení prohlížeče Chrome vylepšilo auditora XSS tak, aby nebyla zneužita zranitelnost XSS. Z tohoto důvodu se může zobrazit chybová zpráva, pokud jste odpovídajícím způsobem neaktualizovali zdrojový kód.
Většinou je chybný pozitivní, když prohlížeč věří, že je vynucen útok „skriptování mezi weby“. K těmto útokům dochází především, když je prohlížeč podváděn s vykreslením JavaScriptu nebo HTML, které nejsou součástí aspektu zobrazení na webu.
Řešení (Pokud spravujete web)
Pokud jste správcem webu a tato chybová zpráva se objevuje při běžném používání, můžete se pokusit ji odebrat přidáním některých záhlaví stránky do záhlaví POST. Jedná se o dočasnou opravu, dokud nepřijdete s vhodnou alternativou, která správně zpracovává požadavek auditora XSS.
PHP
Přidejte do svého souboru PHP následující hlavičku:
záhlaví ('X-XSS-Protection: 0');
ASP.NET
Zde dočasně deaktivujeme ochranu XSS, dokud do zdrojového kódu nepřidáte správný popisovač.
HttpContext.Response.AddHeader ("X-XSS-Protection", "0");
Pokud konfigurujete soubor Web.Config, můžete místo toho přidat následující kód:
[...]
Ověření požadavku serveru ASP.NET
V některých případech server odmítne požadavek POST, i když jsme přidali požadovanou hlavičku. Dalším řešením je použití ' Request.Unvalidated ', což bude objekt vytvořený speciálně pro zpracování získání 'nebezpečného' požadavku na data.
var code = Request.Unvalidated.Form ["code"];
To bude pravděpodobně fungovat pouze pro ověření požadavku ASP.NET .
Pokud používáte webové formuláře, můžete použít:
Pokud využíváte MVC, můžeme využít ' [ValidateInput (false)] ', což je atribut na řadiči. Důvodem je zabránit validaci.
[ValidateInput (false)] public ActionResult Convert (CodeRequest request) {...}
Nastavení služby IIS HttpRuntime
IIS Express je používán Visual Studio pro webové služby a je jednou z nejpoužívanějších architektur doposud. Pokud používáte technologii ASP.NET, služba IIS může vaši žádost zablokovat ještě předtím, než ASP.NET získá kontrolu. Pokusíme se to vypnout v web.config a pokusit se získat staré chování pomocí následujícího kódu:
Pokud tak neučiníme, IIS selže a odmítne požadavek ještě před tím, než je předán ASP.NET.
Poznámka: Tato zástupná řešení jsou dobrý nápad, pokud váš web není přístupný a způsobuje ztrátu. Vždy byste měli upravit svůj zdrojový kód, abyste mohli s XSS Auditorem pracovat správně. Používejte je pouze dočasně, dokud nenajdete správnou opravu.
Řešení (Pokud web nespravujete)
Pokud jste běžným uživatelem a nemáte přístup k webům ani jej nespravujete, můžete zkusit Chrome spustit bez auditora XSS. Vytvoříme zástupce prohlížeče Google Chrome a přidáme potřebné příznaky pro jeho spuštění v našem stavu.
- Klepněte pravým tlačítkem myši kdekoli na ploše a vyberte Nový> Zkratka .
- Nyní vložte následující řádky kódu podle verze prohlížeče Google Chrome nainstalované v počítači.
Pro 64bitový Chrome
"C: \ Program Files \ Google \ Chrome \ Application \ chrome.exe" -disable-xss-auditor
Pro 32bitový Chrome
"C: \ Program Files (x86) \ Google \ Chrome \ Application \ chrome.exe" -disable-xss-auditor
- Nyní bude vytvořena vaše zkratka pro Chrome. Nyní zkuste přístup na web a zkontrolujte, zda je chybová zpráva vyřešena.
Poznámka: Tato metoda deaktivuje ve vašem prohlížeči XSS Auditor, který je nedílnou součástí bezpečnostního mechanismu. Postupujte prosím na vlastní nebezpečí a doporučujeme tuto funkci používat pouze dočasně.