Åtgärd: ERR_BLOCKED_BY_XSS_AUDITOR
Chrome utvecklas ständigt med nya versioner som släpps då och då för att inkludera nya funktioner och säkerhetsförbättringar. Chrome används inte bara för att surfa; den används också för många webbtjänster som utvecklare använder.
Med den senaste versionen av Chrome 57 förbättrades upptäckten av XSS-revisorer avsevärt. De hade satt upp nya riktlinjer på grund av vilka webbtjänsterna slutade fungera och gav felmeddelandet ”ERR_BLOCKED_BY_XSS_AUDITOR’.
Detta felmeddelande orsakas när HTML-innehåll skickas via POST-metoden inuti begäran. Google Chrome har en XSS-säkerhetsfunktion som alltid analyserar HTML som skickas via formulär och blockerar dessa förfrågningar. På detta sätt skickas formuläret aldrig igenom och XSS-utnyttjande undviks.
Vad orsakar felmeddelandet ”ERR_BLOCKED_BY_XSS_AUDITOR” i Chrome?
Som nämnts tidigare, senaste byggnaden av Chrome moderniserade XSS Auditor så att XSS-sårbarheterna inte utnyttjas. På grund av detta kan du få felmeddelandet om du inte har uppdaterat din källkod i enlighet med detta.
För det mesta finns det en falskt positivt när webbläsaren tror att en "cross-site scripting" -attack tvingas. Dessa attacker inträffar främst när webbläsaren luras till att återge JavaScript eller HTML som inte är en del av webbplatsens visningsaspekt.
Lösning (Om du administrerar webbplatsen)
Om du är webbplatsadministratör och detta felmeddelande inträffar när du använder normal användning kan du försöka ta bort det genom att lägga till några sidhuvuden i POST-rubrikerna. Detta är en tillfällig åtgärd tills du kan komma med ett ordentligt alternativ som hanterar XSS Auditor-begäran ordentligt.
PHP
Lägg till följande rubrik i din PHP-fil:
rubrik ('X-XSS-skydd: 0');
ASP.NET
Här inaktiverar vi XSS-skyddet tillfälligt tills du kan lägga till rätt hanterare i din källkod.
HttpContext.Response.AddHeader ("X-XSS-skydd", "0");
Om du konfigurerar Web.Config fil kan du istället lägga till följande kod:
[...]
ASP.NET Server begär validering
I vissa fall kommer servern att avvisa POST-begäran även om vi har lagt till önskad rubrik. En annan lösning är att användaBegäran. Ogiltig'Som är ett objekt som skapats specifikt för att hantera erhållande av' osäkra 'dataförfrågningar.
var code = Request.Unvalidated.Form ["code"];
Detta kommer troligen bara att fungera för ASP.NET begär validering.
Om du använder webbformulär, du kan använda:
<@ Page validateRequest="false" %>
Om du använder MVCkan vi använda[ValidateInput (false)]”Vilket är ett attribut på styrenheten. Detta görs för att förhindra validering.
[ValidateInput (false)] offentlig ActionResult Convert (CodeRequest-begäran) {...}
IIS HttpRuntime-inställningar
IIS Express används av Visual studio för webbtjänster och är en av de mest använda arkitekturerna hittills. När du använder ASP.NET kan IIS blockera din begäran redan innan ASP.NET får kontroll. Vi försöker stänga av detta web.config och försök att få det gamla beteendet med följande kod:
Om vi inte gör detta kommer IIS att misslyckas och avvisa begäran redan innan den skickas vidare till ASP.NET.
Notera: Dessa lösningar är en bra idé om din webbplats är oåtkomlig och orsakar dig en förlust. Du borde alltid ändra din källkod så att du kan hantera XSS Auditor ordentligt. Använd bara dessa tillfälligt tills du kan räkna ut en korrekt lösning.
Lösning (om du inte administrerar webbplatsen)
Om du är en vanlig användare och inte har tillgång till eller administrerar webbplatsen kan du försöka starta Chrome utan XSS Auditor. Vi skapar en genväg till Google Chrome och lägger till nödvändiga flaggor för att starta den i vårt skick.
- Högerklicka var som helst på skrivbordet och välj Ny> Genväg.
- Klistra in följande kodrader enligt den version av Google Chrome som är installerad på din dator.
För 64-bitars Chrome
"C: \ Program Files \ Google \ Chrome \ Application \ chrome.exe" -disable-xss-auditor
För 32-bitars Chrome
"C: \ Program Files (x86) \ Google \ Chrome \ Application \ chrome.exe" -disable-xss-auditor
- Din Chrome-genväg kommer nu att skapas. Försök nu komma åt webbplatsen och kontrollera om felmeddelandet är löst.
Notera: Denna metod inaktiverar XSS Auditor i din webbläsare som är en integrerad del av säkerhetsmekanismen. Fortsätt på egen risk och det rekommenderas att du bara använder den här funktionen tillfälligt.