Oprava: ERR_BLOCKED_BY_XSS_AUDITOR

Prehliadač Chrome sa neustále vyvíja a nové verzie sa vydávajú každú chvíľu a zahŕňajú nové funkcie a vylepšenia zabezpečenia. Chrome sa nepoužíva iba na prehliadanie; Používa sa tiež pre mnoho webových služieb, ktoré vývojári využívajú.

ERR_BLOCKED_BY_XSS_AUDITOR v prehliadači Chrome

Pri nedávnom zostavení prehliadača Chrome 57 sa zistenie audítora XSS výrazne zlepšilo. Mali stanovené nové pokyny, vďaka ktorým webové služby prestali fungovať a dali chybové hlásenie „ERR_BLOCKED_BY_XSS_AUDITOR “.

Táto chybová správa je spôsobená, keď sa obsah HTML odosiela prostredníctvom metódy POST v žiadosti. Prehliadač Google Chrome má funkciu zabezpečenia XSS, ktorá vždy analyzuje odosielané HTML pomocou formulárov a blokuje tieto požiadavky. Týmto spôsobom sa formuláre nikdy neposielajú a vyhýba sa zneužitiu XSS.

Čo spôsobuje v prehliadači Chrome chybové hlásenie „ERR_BLOCKED_BY_XSS_AUDITOR“?

Ako už bolo spomenuté vyššie, nedávne zostavenie prehliadača Chrome vylepšilo audítora XSS tak, aby nedošlo k zneužitiu zraniteľností XSS. Z tohto dôvodu sa môže zobraziť chybová správa, ak ste zodpovedajúcim spôsobom neaktualizovali zdrojový kód.

Vo väčšine prípadov existuje nesprávny pozitívny výsledok, keď prehliadač verí, že je vynútený útok „skriptovania naprieč stránkami“. Tieto útoky sa vyskytujú predovšetkým vtedy, keď je prehliadač podvedený do vykreslenia JavaScriptu alebo HTML, ktoré nie sú súčasťou zobrazovacej stránky webu.

Riešenie (ak spravujete webovú stránku)

Ak ste správcom webových stránok a toto chybové hlásenie sa zobrazuje pri bežnom používaní, môžete to skúsiť odstrániť pridaním niektorých hlavičiek stránok do hlavičiek POST. Toto je dočasná oprava, kým neprídete so správnou alternatívou, ktorá náležite spracuje žiadosť audítora XSS.

PHP

Pridajte do svojho súboru PHP nasledujúcu hlavičku:

 hlavičky ( 'X-XSS-Protection: 0'); 

ASP.NET

Tu dočasne deaktivujeme ochranu XSS, kým do zdrojového kódu nebudete môcť pridať správny obslužný program.

 HttpContext.Response.AddHeader ( "X-XSS-Protection", "0"); 

Ak konfigurujete súbor Web.Config, môžete namiesto toho pridať nasledujúci kód:

 [...] 

Potvrdenie požiadavky servera ASP.NET

V niektorých prípadoch server odmietne požiadavku POST, aj keď sme pridali požadovanú hlavičku. Ďalším riešením je použitie ' Request.Unvalidated ', čo bude objekt vytvorený špeciálne na spracovanie získania 'nebezpečnej' dátovej požiadavky.

 var code = Request.Unvalidated.Form ["code"]; 

Toto bude s najväčšou pravdepodobnosťou fungovať iba pri validácii požiadaviek ASP.NET .

Ak používate webové formuláre, môžete použiť:

Ak využívate MVC, môžeme použiť ' [ValidateInput (false)] ', čo je atribút v kontroléri. Deje sa to preto, aby sa zabránilo validácii.

 [ValidateInput (false)] public Convert Convert (CodeRequest request) {...} 

Nastavenia služby IIS HttpRuntime

IIS Express používa Visual Studio pre webové služby a je jednou z najpoužívanejších architektúr doposiaľ. Ak používate ASP.NET, služba IIS môže blokovať vašu požiadavku ešte predtým, ako ASP.NET získa kontrolu. Pokúsime sa to vypnúť v web.config a pokúsiť sa získať staré správanie pomocou nasledujúceho kódu:

Ak to neurobíme, IIS zlyhá a žiadosť zamietne ešte predtým, ako sa postúpi do ASP.NET.

Poznámka: Tieto zástupné riešenia sú dobrým nápadom, ak je váš web nedostupný a spôsobuje stratu. Vždy by ste mali upravovať svoj zdrojový kód, aby ste s XSS Auditorom mohli pracovať správne. Používajte ich iba dočasne, kým nevypracujete správnu opravu.

Riešenie (ak web nespravujete)

Ak ste pravidelným používateľom a nemáte prístup k webovým stránkam ani ich nespravujete, môžete skúsiť spustiť prehliadač Chrome bez audítora XSS. Vytvoríme odkaz prehliadača Google Chrome a pridáme potrebné príznaky, aby sme ho mohli spustiť v našom stave.

  1. Kliknite pravým tlačidlom myši kdekoľvek na pracovnej ploche a vyberte položku Nový> Skratka .
  2. Teraz prilepte nasledujúce riadky kódu podľa verzie prehliadača Google Chrome nainštalovanej v počítači.

Pre 64-bitový prehliadač Chrome

 "C: \ Program Files \ Google \ Chrome \ Application \ chrome.exe" -disable-xss-auditor 

Pre 32-bitový prehliadač Chrome

 "C: \ Program Files (x86) \ Google \ Chrome \ Application \ chrome.exe" -disable-xss-auditor 

Otvorenie prehliadača Chrome so zakázaným audítorom XSS
  1. Teraz bude vytvorená vaša skratka pre prehliadač Chrome. Teraz skúste otvoriť webovú stránku a skontrolujte, či sa chybové hlásenie vyriešilo.

Poznámka: Táto metóda zakáže vo vašom prehliadači nástroj XSS Auditor, ktorý je neoddeliteľnou súčasťou bezpečnostného mechanizmu. Postupujte na svoje vlastné riziko a odporúča sa, aby ste túto funkciu používali iba dočasne.

Zaujímavé Články