Popravak: ERR_BLOCKED_BY_XSS_AUDITOR

Chrome je stalno u aktivnom razvoju s novim verzijama koje se izvode s vremena na vrijeme, kako bi uključivao nove značajke i sigurnosna poboljšanja. Chrome se ne koristi samo za pregledavanje; također se koristi za mnoge web servise koje programeri koriste.

ERR_BLOCKED_BY_XSS_AUDITOR u Chromeu

S nedavnom izvedbom Chrome 57, otkrivanje XSS revizora znatno je poboljšano. Postavljene su nove smjernice zbog kojih su web-usluge prestale s radom i dale su poruku o pogrešci 'ERR_BLOCKED_BY_XSS_AUDITOR '.

Ova poruka o pogrešci nastaje kada se HTML sadržaj šalje putem POST metode unutar zahtjeva. Google Chrome ima značajku sigurnosti XSS koja uvijek analizira HTML koji se šalje putem obrazaca i blokira te zahtjeve. Na taj se način obrasci nikada ne šalju i izbjegavaju se XSS iskorištavanja.

Što uzrokuje poruku o pogrešci "ERR_BLOCKED_BY_XSS_AUDITOR" u Chromeu?

Kao što je spomenuto prije, nedavna gradnja Chroma prenovila je XSS Auditor tako da se XSS ranjivosti ne iskorištavaju. Zbog toga ćete možda dobiti poruku o pogrešci ako niste sukladno tome ažurirali svoj izvorni kod.

Većinu vremena postoji lažna pozitiva kada preglednik vjeruje da je napad "skripti na više stranica" prisiljen. Ovi napadi se prije svega događaju kada je preglednik izveden s prikazom JavaScripta ili HTML-a koji nije dio aspekta prikaza web stranice.

Rješenje (ako administrirate web mjesto)

Ako ste administrator web stranice i ova se poruka pogreške javlja pri uobičajenoj upotrebi, možete je pokušati ukloniti dodavanjem nekih zaglavlja stranica u zaglavlja POST-a. Ovo je privremeno rješenje dok ne nađete odgovarajuću alternativu koja pravilno postupa s XSS-ovim zahtjevom revizora.

PHP

U PHP datoteku dodajte sljedeće zaglavlje:

 zaglavlje ( "X-XSS zaštitom: 0); 

ASP.NET

Ovdje privremeno onemogućujemo XSS zaštitu dok u svoj izvorni kôd ne dodate pravi rukovatelj.

 HttpContext.Response.AddHeader ( "X-XSS zaštitom", "0"); 

Ako konfigurirate datoteku Web.Config, umjesto nje možete dodati sljedeći kôd:

 [...] 

ASP.NET poslužitelj zahtjeva za provjeru zahtjeva

U nekim slučajevima poslužitelj će odbiti POST zahtjev čak i ako smo dodali traženo zaglavlje. Drugo zaobilazno rješenje je upotreba ' Request.Unvalified ' koja će biti stvorena posebno za rukovanje dobivanjem "nesigurnog" zahtjeva za podacima.

 var code = Request.Unvalidated.Form ["code"]; 

To će najvjerojatnije raditi samo za provjeru zahtjeva ASP.NET .

Ako koristite web obrasce, možete koristiti:

Ako koristite MVC, možemo upotrijebiti ' [ValidateInput (false)] ' koji je atribut na kontroleru. To se radi kako bi se spriječilo provjeru valjanosti.

 [ValidateInput (false)] javno ActionResult Convert (kod zahtjeva za zahtjev) {...} 

IIS HttpRuntime postavke

IIS Express Visual studio koristi za web usluge i jedna je od najčešće korištenih arhitektura do sada. Kada koristite ASP.NET, IIS može blokirati vaš zahtjev čak i prije nego što ASP.NET stekne kontrolu. Pokušat ćemo to isključiti u web.config i pokušati steći staro ponašanje koristeći sljedeći kôd:

Ako to ne učinimo, IIS neće uspjeti i odbiti zahtjev čak i prije nego što je proslijeđen na ASP.NET.

Napomena: Ova rješenja su dobra ideja ako je vaša web lokacija nepristupačna i stvara vam gubitak. Uvijek biste trebali izmijeniti svoj izvorni kôd da biste mogli pravilno rukovati s XSS Auditorom. Koristite ih samo privremeno dok ne uspijete ispravno ispraviti.

Rješenje (ako ne administrirate web mjesto)

Ako ste redoviti korisnik i nemate pristup ili administraciju web mjesta, možete pokušati pokrenuti Chrome bez XSS Auditor. Izradit ćemo prečac Google Chrome-a i dodati potrebne zastavice kako bismo ga pokrenuli u našem stanju.

  1. Desnom tipkom miša kliknite bilo gdje na radnoj površini i odaberite Novo> Prečac .
  2. Sada zalijepite sljedeće retke koda prema verziji Google Chromea instaliranom na vašem računalu.

Za 64-bitni Chrome

 "C: \ programske datoteke \ Google \ Chrome \ Application \ chrome.exe" -disable-xss-auditor 

Za 32-bitni Chrome

 "C: \ programske datoteke (x86) \ Google \ Chrome \ Application \ chrome.exe" -disable-xss-auditor 

Otvaranje Chromea s XSS Auditor Onemogućeno
  1. Vaša će se prečica za Chrome sada stvoriti. Sada pokušajte pristupiti web mjestu i provjeriti je li poruka o pogrešci riješena.

Napomena: Ovom se metodom onemogućuje XSS Auditor na vašem pregledniku što je sastavni dio sigurnosnog mehanizma. Nastavite na vlastiti rizik i preporučuje se da tu značajku koristite privremeno.

Zanimljivi Članci