Fix: ERR_BLOCKED_BY_XSS_AUDITOR
Chrome er stadig under aktiv utvikling med nye versjoner utgitt nå og da for å inkludere nye funksjoner og sikkerhetsforbedringer. Chrome brukes ikke bare for surfing; den brukes også til mange webtjenester som utviklere bruker.
Med den siste Chrome 57-utgaven ble XSS-revisoroppdagelsen betydelig forbedret. De hadde satt nye retningslinjer på grunn av hvilke nettjenestene sluttet å fungere og ga feilmeldingen ‘ERR_BLOCKED_BY_XSS_AUDITOR’.
Denne feilmeldingen skyldes når HTML-innhold blir sendt via POST-metoden i forespørselen. Google Chrome har en XSS-sikkerhetsfunksjon som alltid analyserer HTML-en som sendes inn via skjemaer og blokkerer disse forespørslene. På denne måten blir skjemaene aldri sendt gjennom, og XSS-utnyttelser unngås.
Hva forårsaker feilmeldingen ‘ERR_BLOCKED_BY_XSS_AUDITOR’ i Chrome?
Som nevnt før, nylig bygge av Chrome moderniserte XSS Auditor slik at XSS-sårbarhetene ikke utnyttes. På grunn av dette kan det hende du får feilmeldingen hvis du ikke har oppdatert kildekoden tilsvarende.
Mesteparten av tiden er det en falsk positiv når nettleseren mener at et “cross-site scripting” -angrep blir tvunget. Disse angrepene oppstår først og fremst når nettleseren blir lurt til å gjengi JavaScript eller HTML som ikke er en del av visningsaspektet på nettstedet.
Løsning (hvis du administrerer nettstedet)
Hvis du er nettstedsadministrator og denne feilmeldingen oppstår når du bruker normal bruk, kan du prøve å fjerne den ved å legge til noen sideoverskrifter i POST-overskriftene. Dette er en midlertidig løsning til du kan komme med et skikkelig alternativ som håndterer XSS Auditor-forespørselen riktig.
PHP
Legg til følgende overskrift i PHP-filen:
topptekst ('X-XSS-beskyttelse: 0');
ASP.NET
Her deaktiverer vi XSS-beskyttelsen midlertidig til du kan legge til riktig behandler i kildekoden.
HttpContext.Response.AddHeader ("X-XSS-beskyttelse", "0");
Hvis du konfigurerer Web.Config fil, kan du legge til følgende kode i stedet:
[...]
ASP.NET Server Be om validering
I noen tilfeller vil serveren avvise POST-forespørselen, selv om vi har lagt til den nødvendige overskriften. En annen løsning er å bruke ‘Forespørsel. Ugyldig'Som vil være et objekt opprettet spesielt for å håndtere innhenting av' usikre 'dataforespørsler.
var code = Request.Unvalidated.Form ["code"];
Dette vil sannsynligvis bare fungere for ASP.NET Be om validering.
Hvis du bruker webskjemaer, du kan bruke:
<@ Page validateRequest="false" %>
Hvis du bruker MVC, kan vi bruke ‘[ValidateInput (false)]’Som er et attributt på kontrolleren. Dette gjøres for å forhindre validering.
[ValidateInput (false)] offentlig ActionResult-konvertering (CodeRequest-forespørsel) {...}
IIS HttpRuntime-innstillinger
IIS Express brukes av Visual studio for webtjenester og er en av de mest brukte arkitekturene til dags dato. Når du bruker ASP.NET, kan IIS blokkere forespørselen din selv før ASP.NET får kontroll. Vi vil prøve å slå dette av web.config og prøv å få den gamle oppførselen ved å bruke følgende kode:
Hvis vi ikke gjør dette, vil IIS mislykkes og avvise forespørselen selv før den sendes videre til ASP.NET.
Merk: Disse løsningene er en god ide hvis nettstedet ditt er utilgjengelig og forårsaker tap. Du burde alltid endre kildekoden slik at du kan håndtere XSS Auditor riktig. Bruk disse bare midlertidig til du kan finne en riktig løsning.
Løsning (hvis du ikke administrerer nettstedet)
Hvis du er en vanlig bruker og ikke har tilgang til eller administrerer nettstedet, kan du prøve å starte Chrome uten XSS Auditor. Vi vil lage en snarvei til Google Chrome og legge til de nødvendige flaggene for å starte den i vår tilstand.
- Høyreklikk hvor som helst på skrivebordet og velg Ny> Snarvei.
- Lim inn følgende kodelinjer i henhold til versjonen av Google Chrome som er installert på datamaskinen din.
For 64-biters Chrome
"C: \ Program Files \ Google \ Chrome \ Application \ chrome.exe" -disable-xss-auditor
For 32-biters Chrome
"C: \ Program Files (x86) \ Google \ Chrome \ Application \ chrome.exe" -disable-xss-auditor
- Chrome-snarveien din blir nå opprettet. Prøv nå å få tilgang til nettstedet og sjekk om feilmeldingen er løst.
Merk: Denne metoden deaktiverer XSS Auditor i nettleseren din, som er en integrert del av sikkerhetsmekanismen. Fortsett på egen risiko, og det anbefales at du bare bruker denne funksjonen midlertidig.