Poprawka: ERR_BLOCKED_BY_XSS_AUDITOR

Doradzają: Kliknij Tutaj, Aby Naprawić Błędy Systemu Windows I Optymalizować Wydajność

Chrome jest stale rozwijany, a nowe wersje są wydawane co jakiś czas, aby zawierać nowe funkcje i ulepszenia bezpieczeństwa. Chrome służy nie tylko do przeglądania; jest również używany do wielu usług internetowych, z których korzystają programiści.

ERR_BLOCKED_BY_XSS_AUDITOR w Chrome

W najnowszej wersji Chrome 57 znacznie poprawiono wykrywanie audytorów XSS. Ustawiono nowe wytyczne, dzięki którym usługi sieciowe przestały działać i wyświetliły komunikat o błędzie „ERR_BLOCKED_BY_XSS_AUDITOR ”.

Ten komunikat o błędzie pojawia się, gdy treść HTML jest wysyłana metodą POST w żądaniu. Google Chrome ma funkcję bezpieczeństwa XSS, która zawsze analizuje kod HTML przesyłany za pośrednictwem formularzy i blokuje te żądania. W ten sposób formularze nigdy nie są przesyłane i unika się exploitów XSS.

Co powoduje komunikat o błędzie „ERR_BLOCKED_BY_XSS_AUDITOR” w Chrome?

Jak wspomniano wcześniej, najnowsza wersja Chrome przebudowała Audytora XSS, aby luki XSS nie zostały wykorzystane. Z tego powodu może pojawić się komunikat o błędzie, jeśli kod źródłowy nie został odpowiednio zaktualizowany.

Przez większość czasu jest fałszywie pozytywny, gdy przeglądarka uważa, że ​​wymuszony jest atak „skryptami krzyżowymi”. Ataki te występują przede wszystkim wtedy, gdy przeglądarka jest zmuszana do renderowania JavaScript lub HTML, który nie jest częścią aspektu wyświetlania witryny.

Rozwiązanie (jeśli administrujesz witryną)

Jeśli jesteś administratorem witryny i ten komunikat o błędzie pojawia się podczas normalnego użytkowania, możesz spróbować go usunąć, dodając niektóre nagłówki stron do nagłówków POST. Jest to tymczasowa poprawka, dopóki nie pojawi się odpowiednia alternatywa, która odpowiednio obsługuje żądanie audytora XSS.

PHP

Dodaj następujący nagłówek w pliku PHP:

 nagłówek („Ochrona X-XSS: 0”); 

ASP.NET

Tutaj tymczasowo wyłączamy ochronę XSS, dopóki nie dodasz odpowiedniej procedury obsługi w kodzie źródłowym.

 HttpContext.Response.AddHeader („Ochrona X-XSS”, „0”); 

Jeśli konfigurujesz plik Web.Config, możesz zamiast tego dodać następujący kod:

 [...] 

Sprawdzanie poprawności żądania serwera ASP.NET

W niektórych przypadkach serwer odrzuci żądanie POST, nawet jeśli dodaliśmy wymagany nagłówek. Innym obejściem jest użycie „ Request.Unvalidated ”, który będzie obiektem stworzonym specjalnie do obsługi uzyskiwania „niebezpiecznych” żądań danych.

 var code = Request.Unvalidated.Form [„code”]; 

Najprawdopodobniej zadziała to tylko w przypadku sprawdzania poprawności żądań ASP.NET .

Jeśli korzystasz z formularzy internetowych, możesz użyć:

Jeśli korzystasz z MVC, możemy skorzystać z „ [ValidateInput (false)] ”, który jest atrybutem kontrolera. Ma to na celu zapobieganie sprawdzaniu poprawności.

 [ValidateInput (false)] public ActionResult Convert (CodeRequest request) {...} 

Ustawienia HttpRuntime IIS

IIS Express jest używany przez Visual Studio do usług internetowych i jest jedną z najczęściej używanych architektur do tej pory. Podczas korzystania z platformy ASP.NET usługi IIS mogą blokować żądanie, nawet zanim ASP.NET przejmie kontrolę. Spróbujemy to wyłączyć w pliku web.config i postaramy się uzyskać stare zachowanie za pomocą następującego kodu:

Jeśli tego nie zrobimy, IIS nie powiedzie się i odrzuci żądanie nawet przed przekazaniem go do ASP.NET.

Uwaga: te obejścia są dobrym pomysłem, jeśli witryna jest niedostępna i powoduje utratę. Zawsze powinieneś modyfikować kod źródłowy, aby poprawnie obsługiwać Audytora XSS. Używaj ich tylko tymczasowo, dopóki nie możesz wypracować właściwej poprawki.

Rozwiązanie (jeśli nie administrujesz witryną)

Jeśli jesteś zwykłym użytkownikiem i nie masz dostępu ani nie administrujesz witryną, możesz spróbować uruchomić Chrome bez XSS Auditor. Stworzymy skrót do Google Chrome i dodamy niezbędne flagi, aby uruchomić go w naszym stanie.

  1. Kliknij prawym przyciskiem myszy w dowolnym miejscu na pulpicie i wybierz Nowy> Skrót .
  2. Teraz wklej następujące wiersze kodu zgodnie z wersją Google Chrome zainstalowaną na twoim komputerze.

Dla 64-bitowego Chrome

 „C: \ Program Files \ Google \ Chrome \ Application \ chrome.exe” -disable-xss-auditor 

Dla 32-bitowego Chrome

 „C: \ Program Files (x86) \ Google \ Chrome \ Application \ chrome.exe” -disable-xss-auditor 

Otwieranie Chrome z wyłączonym audytorem XSS
  1. Twój skrót do Chrome zostanie utworzony. Teraz spróbuj uzyskać dostęp do witryny i sprawdź, czy komunikat o błędzie został rozwiązany.

Uwaga: Ta metoda wyłącza XSS Auditor w przeglądarce, która jest integralną częścią mechanizmu bezpieczeństwa. Kontynuuj na własne ryzyko i zalecamy tymczasowe korzystanie z tej funkcji.

Ciekawe Artykuły