Oplossing: ERR_BLOCKED_BY_XSS_AUDITOR
Chrome is voortdurend in ontwikkeling en er worden zo nu en dan nieuwe versies uitgebracht met nieuwe functies en beveiligingsverbeteringen. Chrome wordt niet alleen gebruikt om te browsen; het wordt ook gebruikt voor veel webservices waar ontwikkelaars gebruik van maken.
Met de recente Chrome 57-build is de detectie van XSS-auditors enorm verbeterd. Ze hadden nieuwe richtlijnen opgesteld waardoor de webservices niet meer werkten en de foutmelding gaven ‘ERR_BLOCKED_BY_XSS_AUDITOR’.
Dit foutbericht wordt veroorzaakt wanneer HTML-inhoud wordt verzonden via de POST-methode binnen het verzoek. Google Chrome heeft een XSS-beveiligingsfunctie die altijd de HTML analyseert die via formulieren wordt ingediend en die verzoeken blokkeert. Op deze manier worden de formulieren nooit doorgestuurd en worden XSS-exploits vermeden.
Wat veroorzaakt de foutmelding ‘ERR_BLOCKED_BY_XSS_AUDITOR’ in Chrome?
Zoals eerder vermeld, de recent gebouwd van Chrome heeft de XSS Auditor vernieuwd, zodat de XSS-kwetsbaarheden niet worden misbruikt. Daarom kunt u de foutmelding krijgen als u uw broncode niet dienovereenkomstig hebt bijgewerkt.
Meestal is er een vals positief wanneer de browser van mening is dat een ‘cross-site scripting’-aanval wordt geforceerd. Deze aanvallen vinden voornamelijk plaats wanneer de browser wordt misleid om JavaScript of HTML weer te geven, wat geen deel uitmaakt van het weergaveaspect van de website.
Oplossing (als u de website beheert)
Als u een websitebeheerder bent en dit foutbericht verschijnt tijdens normaal gebruik, kunt u proberen het te verwijderen door enkele paginakoppen toe te voegen aan de POST-headers. Dit is een tijdelijke oplossing totdat u met een goed alternatief kunt komen dat het verzoek van de XSS Auditor correct afhandelt.
Php
Voeg de volgende koptekst toe aan uw PHP-bestand:
header ('X-XSS-Protection: 0');
ASP.NET
Hier schakelen we de XSS-bescherming tijdelijk uit totdat u de juiste handler in uw broncode kunt toevoegen.
HttpContext.Response.AddHeader ("X-XSS-Protection", "0");
Als u het Web.Config bestand, kunt u in plaats daarvan de volgende code toevoegen:
[...]
ASP.NET Server Request Validation
In sommige gevallen zal de server het POST-verzoek afwijzen, zelfs als we de vereiste header hebben toegevoegd. Een andere oplossing is om ‘Verzoek niet gevalideerd'Wat een object is dat specifiek is gemaakt om het verkrijgen van een ‘onveilig’ gegevensverzoek af te handelen.
var code = Request.Unvalidated.Form ["code"];
Dit werkt waarschijnlijk alleen voor ASP.NET-aanvraagvalidatie.
Als u webformulieren, je kunt gebruiken:
<@ Page validateRequest="false" %>
Als u gebruik maakt van MVCkunnen we gebruik maken van ‘[ValidateInput (false)]'Wat een kenmerk is op de controller. Dit wordt gedaan om validatie te voorkomen.
[ValidateInput (false)] public ActionResult Convert (CodeRequest-verzoek) {...}
IIS HttpRuntime-instellingen
IIS Express wordt door Visual Studio gebruikt voor webservices en is tot nu toe een van de meest gebruikte architecturen. Wanneer u ASP.NET gebruikt, kan IIS uw verzoek blokkeren zelfs voordat ASP.NET de controle heeft verworven. We zullen proberen dit uit te schakelen in web.config en probeer het oude gedrag te verkrijgen met behulp van de volgende code:
Als we dit niet doen, zal IIS mislukken en het verzoek afwijzen, zelfs voordat het is doorgestuurd naar ASP.NET.
Opmerking: Deze tijdelijke oplossingen zijn een goed idee als uw website niet toegankelijk is en u verlies veroorzaakt. Je zou moeten altijd pas uw broncode aan zodat u goed met de XSS Auditor kunt omgaan. Gebruik deze slechts tijdelijk totdat u een goede oplossing kunt vinden.
Oplossing (als u de website niet beheert)
Als u een gewone gebruiker bent en geen toegang heeft tot de website of deze niet beheert, kunt u proberen om Chrome te starten zonder de XSS Auditor. We zullen een snelkoppeling van Google Chrome maken en de nodige vlaggen toevoegen om deze in onze toestand te starten.
- Klik met de rechtermuisknop ergens op uw bureaublad en selecteer Nieuw> Snelkoppeling.
- Plak nu de volgende regels code volgens de versie van Google Chrome die op uw computer is geïnstalleerd.
Voor 64-bits Chrome
"C: \ Program Files \ Google \ Chrome \ Application \ chrome.exe" -disable-xss-auditor
Voor 32-bits Chrome
"C: \ Program Files (x86) \ Google \ Chrome \ Application \ chrome.exe" -disable-xss-auditor
- Uw Chrome-snelkoppeling wordt nu gemaakt. Probeer nu de website te openen en controleer of het foutbericht is opgelost.
Opmerking: Met deze methode wordt XSS Auditor in uw browser uitgeschakeld, wat een integraal onderdeel is van het beveiligingsmechanisme. Ga op eigen risico verder en het wordt aanbevolen om deze functie alleen tijdelijk te gebruiken.