Исправить: ERR_BLOCKED_BY_XSS_AUDITOR
Chrome постоянно находится в стадии разработки, новые версии время от времени выпускают новые функции и улучшения безопасности. Chrome используется не только для просмотра страниц; он также используется для многих веб-сервисов, которые используют разработчики.
В последней сборке Chrome 57 обнаружение аудитора XSS значительно улучшилось. У них были установлены новые руководящие принципы, из-за которых веб-службы перестали работать, и выдали сообщение об ошибке «ERR_BLOCKED_BY_XSS_AUDITOR ».
Это сообщение об ошибке возникает при отправке содержимого HTML через метод POST внутри запроса. В Google Chrome есть функция безопасности XSS, которая всегда анализирует HTML, отправляемый через формы, и блокирует эти запросы. Таким образом, формы никогда не отправляются и XSS-эксплойты исключаются.
Что вызывает сообщение об ошибке «ERR_BLOCKED_BY_XSS_AUDITOR» в Chrome?
Как упоминалось ранее, последняя сборка Chrome обновила XSS Auditor, поэтому уязвимости XSS не используются. Из-за этого вы можете получить сообщение об ошибке, если вы не обновили свой исходный код соответствующим образом.
Большую часть времени браузер полагает, что атака «межсайтовый скриптинг» является ложным срабатыванием . Эти атаки, в основном, происходят, когда браузер обманывает рендеринг JavaScript или HTML, который не является частью аспекта отображения веб-сайта.
Решение (если вы управляете сайтом)
Если вы являетесь администратором веб-сайта, и это сообщение об ошибке появляется при обычном использовании, вы можете попытаться удалить его, добавив несколько заголовков страниц в заголовки POST. Это временное исправление, пока вы не найдете подходящую альтернативу, которая правильно обрабатывает запрос XSS Auditor.
PHP
Добавьте следующий заголовок в ваш файл PHP:
заголовок ( 'X-XSS-Protection: 0');
ASP.NET
Здесь мы временно отключаем защиту XSS, пока вы не сможете добавить соответствующий обработчик в свой исходный код.
HttpContext.Response.AddHeader ( "X-XSS-Protection", "0");
Если вы настраиваете файл Web.Config, вместо этого вы можете добавить следующий код:
[...]
Проверка запросов к серверу ASP.NET
В некоторых случаях сервер отклоняет запрос POST, даже если мы добавили требуемый заголовок. Другим обходным решением является использование Request.Unvalidated, который будет объектом, созданным специально для обработки запроса «небезопасных» данных.
var code = Request.Unvalidated.Form ["code"];
Скорее всего, это будет работать только для проверки запросов ASP.NET .
Если вы используете веб-формы, вы можете использовать:
Если вы используете MVC, мы можем использовать ' [ValidateInput (false)] ', который является атрибутом контроллера. Это сделано для предотвращения проверки.
[ValidateInput (false)] public ActionResult Convert (запрос CodeRequest) {...}
Настройки IIS HttpRuntime
IIS Express используется Visual Studio для веб-сервисов и является одной из наиболее используемых архитектур на сегодняшний день. Когда вы используете ASP.NET, IIS может заблокировать ваш запрос даже до того, как ASP.NET получит контроль. Мы попытаемся отключить это в web.config и попытаться получить старое поведение, используя следующий код:
Если мы этого не сделаем, IIS потерпит неудачу и отклонит запрос даже до того, как он будет передан в ASP.NET.
Примечание: эти обходные пути являются хорошей идеей, если ваш сайт недоступен и причиняет вам убыток. Вы всегда должны изменять свой исходный код, чтобы вы могли правильно обращаться с XSS Auditor. Используйте их только временно, пока не сможете выработать правильное решение.
Решение (если вы не управляете сайтом)
Если вы являетесь обычным пользователем и не имеете доступа или администрирования веб-сайта, вы можете попробовать запустить Chrome без XSS Auditor. Мы создадим ярлык Google Chrome и добавим необходимые флаги, чтобы запустить его в нашем состоянии.
- Щелкните правой кнопкой мыши в любом месте на рабочем столе и выберите « Создать»> «Ярлык» .
- Теперь вставьте следующие строки кода в соответствии с версией Google Chrome, установленной на вашем компьютере.
Для 64-битного Chrome
"C: \ Program Files \ Google \ Chrome \ Application \ chrome.exe" -disable-xss-auditor
Для 32-битного Chrome
"C: \ Program Files (x86) \ Google \ Chrome \ Application \ chrome.exe" -disable-xss-auditor
- Ваш ярлык Chrome будет создан. Теперь попробуйте зайти на сайт и проверьте, устранено ли сообщение об ошибке.
Примечание. Этот метод отключает XSS Auditor в вашем браузере, который является неотъемлемой частью механизма безопасности. Пожалуйста, действуйте на свой страх и риск, и рекомендуется использовать эту функцию только временно.