Chrome er konstant under aktiv udvikling med nye versioner, der frigives nu og da for at inkludere nye funktioner og sikkerhedsforbedringer. Chrome bruges ikke kun til browsing; det bruges også til mange webtjenester, som udviklere bruger.
Med den nylige Chrome 57-opbygning blev XSS-detekteringen af revisorer forbedret kraftigt. De havde sat nye retningslinjer på grund af hvilke webtjenesterne stoppede med at fungere og gav fejlmeddelelsen ‘ERR_BLOCKED_BY_XSS_AUDITOR’.
Denne fejlmeddelelse skyldes, når HTML-indhold sendes via POST-metoden inde i anmodningen. Google Chrome har en XSS-sikkerhedsfunktion, som altid analyserer den HTML, der sendes via formularer, og blokerer disse anmodninger. På denne måde sendes formularerne aldrig igennem, og XSS-udnyttelse undgås.
Hvad forårsager fejlmeddelelsen 'ERR_BLOCKED_BY_XSS_AUDITOR' i Chrome?
Som nævnt før, nyere build af Chrome moderniserede XSS Auditor, så XSS-sårbarhederne ikke udnyttes. På grund af dette modtager du muligvis fejlmeddelelsen, hvis du ikke har opdateret din kildekode i overensstemmelse hermed.
For det meste er der en falsk positiv når browseren mener, at et "cross-site scripting" -angreb bliver tvunget. Disse angreb forekommer primært, når browseren bliver narret til at gengive JavaScript eller HTML, som ikke er en del af skærmaspektet på hjemmesiden.
Løsning (hvis du administrerer hjemmesiden)
Hvis du er webstedsadministrator, og denne fejlmeddelelse opstår, når du bruger en normal brug, kan du prøve at fjerne den ved at tilføje nogle sideoverskrifter til POST-overskrifterne. Dette er en midlertidig løsning, indtil du kan komme med et ordentligt alternativ, der håndterer XSS Auditor-anmodningen korrekt.
PHP
Tilføj følgende overskrift i din PHP-fil:
header ('X-XSS-beskyttelse: 0');ASP.NET
Her deaktiverer vi XSS-beskyttelsen midlertidigt, indtil du kan tilføje den rette handler i din kildekode.
HttpContext.Response.AddHeader ("X-XSS-beskyttelse", "0");Hvis du konfigurerer Web.Config fil, kan du i stedet tilføje følgende kode:
[...]
ASP.NET-serveranmodningsvalidering
I nogle tilfælde afviser serveren POST-anmodningen, selvom vi har tilføjet den påkrævede header. En anden løsning er at bruge 'Anmodning. Ugyldig'Som vil være et objekt oprettet specifikt til at håndtere modtagelsen af' usikre 'dataanmodninger.
var code = Request.Unvalidated.Form ["code"];
Dette vil sandsynligvis kun fungere for ASP.NET Anmod om validering.
Hvis du bruger webformularer, du kan bruge:
Hvis du bruger MVC, kan vi gøre brug af '[ValidateInput (false)]'Som er en attribut på controlleren. Dette gøres for at forhindre validering.
[ValidateInput (false)] offentlig ActionResult-konvertering (CodeRequest-anmodning) {...}IIS HttpRuntime-indstillinger
IIS Express bruges af Visual studio til webtjenester og er en af de mest anvendte arkitekturer til dato. Når du bruger ASP.NET, kan IIS muligvis blokere din anmodning, selv før ASP.NET får kontrol. Vi vil forsøge at slå dette fra web.config og prøv at få den gamle adfærd ved hjælp af følgende kode:
Hvis vi ikke gør dette, mislykkes IIS og afviser anmodningen, selv før den sendes videre til ASP.NET.
Bemærk: Disse løsninger er en god idé, hvis dit websted er utilgængeligt og forårsager et tab. Du burde altid rediger din kildekode, så du kan håndtere XSS Auditor korrekt. Brug kun disse midlertidigt, indtil du kan finde ud af en ordentlig løsning.
Løsning (hvis du ikke administrerer hjemmesiden)
Hvis du er en almindelig bruger og ikke har adgang til eller administrerer webstedet, kan du prøve at starte Chrome uden XSS Auditor. Vi opretter en genvej til Google Chrome og tilføjer de nødvendige flag for at starte den i vores tilstand.
- Højreklik et vilkårligt sted på skrivebordet, og vælg Ny> Genvej.
- Indsæt nu følgende kodelinjer i henhold til den version af Google Chrome, der er installeret på din computer.
Til 64-bit Chrome
"C: \ Program Files \ Google \ Chrome \ Application \ chrome.exe" -disable-xss-auditor
Til 32-bit Chrome
"C: \ Program Files (x86) \ Google \ Chrome \ Application \ chrome.exe" -disable-xss-auditor
- Din Chrome-genvej oprettes nu. Prøv nu at få adgang til hjemmesiden, og kontroller, om fejlmeddelelsen er løst.
Bemærk: Denne metode deaktiverer XSS Auditor i din browser, som er en integreret del af sikkerhedsmekanismen. Fortsæt på egen risiko, og det anbefales, at du kun bruger denne funktion midlertidigt.
