Pataisymas: ERR_BLOCKED_BY_XSS_AUDITOR

Pataria: Spauskite Čia Norėdami Nustatyti Windows Klaidų Ir Optimizuoti Sistemos Veikimą

„Chrome“ yra nuolat tobulinamas, vis naujos versijos išleidžiamos kaskart, kad būtų įtrauktos naujos funkcijos ir saugos patobulinimai. „Chrome“ naudojamas ne tik naršymui; jis taip pat naudojamas daugeliui interneto paslaugų, kuriomis naudojasi kūrėjai.

ERR_BLOCKED_BY_XSS_AUDITOR „Chrome“

Neseniai įdiegus „Chrome 57“, XSS auditoriaus aptikimas buvo žymiai patobulintas. Jie turėjo naujas gaires, dėl kurių interneto paslaugos nustojo veikti ir davė klaidos pranešimą „ERR_BLOCKED_BY_XSS_AUDITOR “.

Šis klaidos pranešimas atsiranda, kai HTML turinys užklausoje yra siunčiamas naudojant POST metodą. „Google Chrome“ yra „XSS Security“ funkcija, kuri visada analizuoja HTML, pateiktą naudojant formas, ir blokuoja tas užklausas. Tokiu būdu formos niekada nebus siunčiamos ir išvengiama XSS išnaudojimo.

Kas sukelia klaidos pranešimą „ERR_BLOCKED_BY_XSS_AUDITOR“ „Chrome“?

Kaip minėta anksčiau, neseniai „Chrome“ sukūrimas pakeitė XSS auditorių, todėl XSS pažeidžiamumas nėra išnaudojamas. Dėl šios priežasties galite gauti klaidos pranešimą, jei atitinkamai neatnaujinote šaltinio kodo.

Dažniausiai būna klaidingai teigiama, kai naršyklė mano, kad prievarta yra priversta vykdyti „kelių svetainių scenarijų“ išpuolį. Šios atakos pirmiausia įvyksta, kai naršyklė yra įnirtinga pateikiant „JavaScript“ ar HTML, kurie nėra svetainės rodymo aspektas.

Sprendimas (jei administruojate svetainę)

Jei esate svetainės administratorius ir šis klaidos pranešimas atsiranda, kai naudojatės įprastu režimu, galite pabandyti pašalinti jį, pridėdami keletą puslapių antraščių POST antraštėse. Tai yra laikinas pataisymas, kol galėsite pateikti tinkamą alternatyvą, kuri tinkamai atliktų XSS auditoriaus užklausą.

PHP

Pridėkite šią antraštę prie savo PHP failo:

 antraštė ('X-XSS-Protection: 0'); 

ASP.NET

Mes laikinai išjungiame XSS apsaugą, kol galėsite į savo šaltinio kodą įtraukti tinkamą tvarkyklę.

 „HttpContext.Response.AddHeader“ („X-XSS-apsauga“, „0“); 

Jei sukonfigūruojate failą „ Web.Config“, vietoj jo galite pridėti šį kodą:

 [...] 

ASP.NET serverio užklausos patvirtinimas

Kai kuriais atvejais serveris atmes POST užklausą, net jei pridėjome reikiamą antraštę. Kitas būdas yra naudoti „ Request.Unvalidated “, kuris bus objektas, sukurtas specialiai „nesaugių“ duomenų užklausai gauti.

 var code = Request.Unvalidated.Form ["code"]; 

Greičiausiai tai veiks tik ASP.NET užklausos patvirtinimas .

Jei naudojate internetines formas, galite naudoti:

Jei naudojate MVC, galime naudoti „ [ValidateInput (false)] “, kuris yra valdiklio atributas. Tai daroma siekiant išvengti patvirtinimo.

 [„ValidateInput“ (klaidinga)] viešoji „ActionResult“ konversija („CodeRequest“ užklausa) {...} 

IIS „HttpRuntime“ nustatymai

„IIS Express“ „Visual“ studija naudoja interneto paslaugoms ir yra viena iš iki šiol labiausiai naudojamų architektūrų. Kai naudojate ASP.NET, IIS gali užblokuoti jūsų užklausą dar prieš ASP.NET įgyjant valdymą. Mes bandysime tai išjungti web.config ir bandysime įgyti seną elgesį naudodami šį kodą:

Jei to nepadarysime, IIS nepavyks ir atmes užklausą dar prieš ją perduodant į ASP.NET.

Pastaba: šie būdai yra gera idėja, jei jūsų svetainė yra neprieinama ir ji jums nuostolinga. Visada turėtumėte pakeisti savo šaltinio kodą, kad galėtumėte tinkamai tvarkyti „XSS auditorių“. Naudokite juos tik laikinai, kol išsiaiškinsite tinkamą taisymą.

Sprendimas (jei ne administruojate svetainės)

Jei esate įprastas vartotojas ir neturite prieigos ar administruojate svetainės, galite pabandyti paleisti „Chrome“ be XSS auditoriaus. Mes sukursime „Google Chrome“ spartųjį klavišą ir pridėsime reikalingas vėliavas, kad jis būtų paleistas mūsų būklėje.

  1. Dešiniuoju pelės mygtuku spustelėkite bet kurią darbalaukio dalį ir pasirinkite Naujas> Nuoroda .
  2. Dabar įklijuokite šias kodo eilutes pagal jūsų kompiuteryje įdiegtą „Google Chrome“ versiją.

Skirta 64 bitų „Chrome“

 "C: \ Program Files \ Google \ Chrome \ Application \ chrome.exe" -disable-xss-auditor 

Skirta 32 bitų „Chrome“

 "C: \ Program Files (x86) \ Google \ Chrome \ Application \ chrome.exe" -disable-xss-auditor 

„Chrome“ atidarymas naudojant XSS auditorių išjungtas
  1. Dabar bus sukurtas „Chrome“ spartusis klavišas. Dabar pabandykite patekti į svetainę ir patikrinkite, ar klaidos pranešimas išspręstas.

Pastaba: šis metodas išjungia XSS auditorių jūsų naršyklėje, kuri yra neatsiejama saugos mechanizmo dalis. Prašome tęsti savo rizika ir rekomenduojama šia funkcija naudotis tik laikinai.

Įdomios Straipsniai