Rettelse: ERR_BLOCKED_BY_XSS_AUDITOR

Chrome er under konstant udvikling med nye versioner, der hver gang og da frigives for at inkludere nye funktioner og sikkerhedsforbedringer. Chrome bruges ikke kun til browsing; det bruges også til mange webtjenester, som udviklere bruger.

ERR_BLOCKED_BY_XSS_AUDITOR i Chrome

Med den nylige Chrome 57-opbygning blev XSS-auditors detektion markant forbedret. De fik nye retningslinjer, som webservices ophørte med at fungere og gav fejlmeddelelsen 'ERR_BLOCKED_BY_XSS_AUDITOR '.

Denne fejlmeddelelse forårsages, når HTML-indhold sendes via POST-metoden inden for anmodningen. Google Chrome har en XSS-sikkerhedsfunktion, der altid analyserer HTML, der indsendes via formularer og blokerer for disse anmodninger. På denne måde sendes formularerne aldrig igennem, og XSS-udnyttelse undgås.

Hvad forårsager fejlmeddelelsen 'ERR_BLOCKED_BY_XSS_AUDITOR' i Chrome?

Som nævnt før opdaterede den nylige opbygning af Chrome XSS Auditor, så XSS-sårbarhederne ikke udnyttes. På grund af dette kan du muligvis modtage fejlmeddelelsen, hvis du ikke har opdateret din kildekode i overensstemmelse hermed.

Det meste af tiden er der en falsk positiv, når browseren mener, at et "cross-site scripting" -angreb bliver tvunget. Disse angreb forekommer primært, når browseren bliver narret til at gengive JavaScript eller HTML, som ikke er en del af webstedets visningsaspekt.

Løsning (hvis du administrerer webstedet)

Hvis du er en webstedsadministrator, og denne fejlmeddelelse opstår, når du bruger en normal brug, kan du prøve at fjerne den ved at tilføje nogle sideoverskrifter i POST-overskrifterne. Dette er en midlertidig løsning, indtil du kan komme med et ordentligt alternativ, der korrekt håndterer anmodningen om XSS Auditor.

PHP

Tilføj følgende header i din PHP-fil:

 header ( 'X-XSS-Beskyttelse: 0'); 

ASP.NET

Her deaktiverer vi XSS-beskyttelsen midlertidigt, indtil du kan tilføje den rette håndterer i din kildekode.

 HttpContext.Response.AddHeader ( "X-XSS-beskyttelse", "0"); 

Hvis du konfigurerer Web.Config- filen, kan du i stedet tilføje følgende kode:

 [...] 

ASP.NET Server Anmodning om validering

I nogle tilfælde afviser serveren POST-anmodningen, selvom vi har tilføjet den krævede header. En anden løsning er at bruge ' Request.Unvalidated ', som vil være et objekt oprettet specifikt til at håndtere opnåelsen af ​​'usikker' dataanmodning.

 var code = Request.Uvalidated.Form ["code"]; 

Dette fungerer sandsynligvis kun for ASP.NET-anmodning om validering .

Hvis du bruger webformularer, kan du bruge:

Hvis du bruger MVC, kan vi bruge ' [ValidateInput (false)] ', som er en attribut på controlleren. Dette gøres for at forhindre validering.

 [ValidateInput (false)] offentlig ActionResult Convert (CodeRequest-anmodning) {...} 

IIS HttpRuntime-indstillinger

IIS Express bruges af Visual studio til webservices og er en af ​​de hittil mest anvendte arkitekturer. Når du bruger ASP.NET, kan IIS muligvis blokere din anmodning, selv før ASP.NET får kontrol. Vi vil forsøge at slå dette fra i web.config og forsøge at få den gamle opførsel ved hjælp af følgende kode:

Hvis vi ikke gør dette, vil IIS mislykkes og afvise anmodningen, også før den videresendes til ASP.NET.

Bemærk: Disse løsninger er en god ide, hvis dit websted er utilgængeligt og forårsager et tab. Du skal altid ændre din kildekode, så du kan håndtere XSS Auditor korrekt. Brug kun disse midlertidigt, indtil du kan finde frem til en ordentlig rettelse.

Løsning (hvis du ikke administrerer hjemmesiden)

Hvis du er en almindelig bruger og ikke har adgang til eller administrerer webstedet, kan du prøve at starte Chrome uden XSS Auditor. Vi opretter en genvej til Google Chrome og tilføjer de nødvendige flag for at starte den i vores tilstand.

  1. Højreklik hvor som helst på dit skrivebord og vælg Ny> Genvej .
  2. Indsæt nu følgende kodelinjer i henhold til den version af Google Chrome, der er installeret på din computer.

Til 64-bit Chrome

 "C: \ Programfiler \ Google \ Chrome \ Application \ chrome.exe" -disable-xss-auditor 

Til 32-bit Chrome

 "C: \ Program Files (x86) \ Google \ Chrome \ Application \ chrome.exe" -disable-xss-auditor 

Åbning af Chrome med XSS Auditor deaktiveret
  1. Din Chrome-genvej oprettes nu. Prøv nu at få adgang til webstedet, og kontroller, om fejlmeddelelsen er løst.

Bemærk: Denne metode deaktiverer XSS Auditor i din browser, som er en integreret del af sikkerhedsmekanismen. Fortsæt på egen risiko, og det anbefales, at du kun bruger denne funktion midlertidigt.

Interessante Artikler