Chrome je neustále v aktivním vývoji s novými verzemi vydanými každou chvíli, aby zahrnoval nové funkce a vylepšení zabezpečení. Chrome se nepoužívá pouze k procházení; používá se také pro mnoho webových služeb, které vývojáři využívají.
S nedávným sestavením prohlížeče Chrome 57 se detekce auditorů XSS výrazně zlepšila. Měli nastaveny nové pokyny, kvůli nimž webové služby přestaly fungovat a poskytly chybovou zprávu „ERR_BLOCKED_BY_XSS_AUDITOR’.
Tato chybová zpráva je způsobena při odesílání obsahu HTML pomocí metody POST uvnitř požadavku. Google Chrome má funkci zabezpečení XSS, která vždy analyzuje odesílaný kód HTML prostřednictvím formulářů a blokuje tyto požadavky. Tímto způsobem se formuláře nikdy neposílají a zabrání se zneužití XSS.
Co způsobuje chybovou zprávu „ERR_BLOCKED_BY_XSS_AUDITOR“ v prohlížeči Chrome?
Jak již bylo zmíněno dříve, nedávné sestavení prohlížeče Chrome předělal Auditor XSS, aby nebyly zneužity chyby zabezpečení XSS. Z tohoto důvodu se může zobrazit chybová zpráva, pokud jste odpovídajícím způsobem neaktualizovali svůj zdrojový kód.
Většinu času existuje falešně pozitivní když prohlížeč věří, že je vynucen útok „skriptování mezi weby“. K těmto útokům dochází primárně, když je prohlížeč podveden k vykreslení JavaScriptu nebo HTML, které není součástí zobrazovacího aspektu webu.
Řešení (pokud spravujete web)
Pokud jste správcem webu a tato chybová zpráva se objevuje, když máte normální používání, můžete ji zkusit odstranit přidáním některých záhlaví stránek do záhlaví POST. Toto je dočasná oprava, dokud nepřijdete s vhodnou alternativou, která správně zpracovává požadavek auditora XSS.
PHP
Přidejte do svého souboru PHP následující záhlaví:
záhlaví ('X-XSS-Protection: 0');ASP.NET
Zde dočasně deaktivujeme ochranu XSS, dokud do zdrojového kódu nepřidáte správný obslužný program.
HttpContext.Response.AddHeader ("X-XSS-Protection", "0");Pokud konfigurujete Web.Config souboru, můžete místo toho přidat následující kód:
[...]
Ověření požadavku serveru ASP.NET
V některých případech server odmítne požadavek POST, i když jsme přidali požadovanou hlavičku. Dalším řešením je použít „Žádost je neplatná„Který bude objektem vytvořeným speciálně za účelem zpracování„ nebezpečného “požadavku na data.
var code = Request.Unvalidated.Form ["kód"];
Toto bude pravděpodobně fungovat pouze pro Ověření požadavku ASP.NET.
Pokud používáte webové formuláře, Můžeš použít:
Pokud využíváte MVC, můžeme využít[ValidateInput (false)]„Což je atribut na ovladači. To se provádí, aby se zabránilo ověření.
[ValidateInput (false)] veřejná akce ActionResult Convert (požadavek CodeRequest) {...}Nastavení IIS HttpRuntime
IIS Express používá Visual studio pro webové služby a je jednou z nejpoužívanějších architektur k dnešnímu dni. Když používáte ASP.NET, může služba IIS blokovat váš požadavek ještě předtím, než ASP.NET získá kontrolu. Pokusíme se to vypnout web.config a pokuste se získat staré chování pomocí následujícího kódu:
Pokud to neuděláme, IIS selže a odmítne požadavek ještě předtím, než je předán ASP.NET.
Poznámka: Tato řešení jsou dobrým nápadem, pokud je váš web nepřístupný a způsobuje vám ztrátu. Měl by jsi vždy upravte svůj zdrojový kód, abyste mohli správně zpracovat XSS Auditor. Používejte je pouze dočasně, dokud nezjistíte správnou opravu.
Řešení (Pokud web nespravujete)
Pokud jste běžným uživatelem a nemáte přístup nebo správu webu, můžete zkusit spustit Chrome bez XSS Auditor. Vytvoříme zástupce prohlížeče Google Chrome a přidáme potřebné příznaky, abychom jej mohli spustit v našem stavu.
- Klikněte pravým tlačítkem kamkoli na plochu a vyberte Nové> Zkratka.
- Nyní vložte následující řádky kódu podle verze prohlížeče Google Chrome nainstalovaného v počítači.
Pro 64bitový Chrome
"C: \ Program Files \ Google \ Chrome \ Application \ chrome.exe" -disable-xss-auditor
Pro 32bitový Chrome
"C: \ Program Files (x86) \ Google \ Chrome \ Application \ chrome.exe" -disable-xss-auditor
- Vaše zástupce Chrome bude nyní vytvořena. Nyní zkuste navštívit web a zkontrolujte, zda je chybová zpráva vyřešena.
Poznámka: Tato metoda zakazuje ve vašem prohlížeči XSS Auditor, který je nedílnou součástí bezpečnostního mechanismu. Postupujte prosím na své vlastní riziko a doporučujeme tuto funkci používat pouze dočasně.
