Chrome se nenehno aktivno razvija, vsake toliko pa izidejo nove različice, ki vključujejo nove funkcije in izboljšave varnosti. Chrome se ne uporablja samo za brskanje; uporablja se tudi za številne spletne storitve, ki jih uporabljajo razvijalci.
Z nedavno izdelavo Chrome 57 je bilo zaznavanje revizorja XSS močno izboljšano. Določili so nove smernice, zaradi katerih so spletne storitve prenehale delovati in sporočile napako ‘ERR_BLOCKED_BY_XSS_AUDITOR’.
To sporočilo o napaki se pojavi, ko se vsebina HTML v zahtevi pošilja po metodi POST. Google Chrome ima varnostno funkcijo XSS, ki vedno analizira HTML, ki je poslan prek obrazcev, in blokira te zahteve. Na ta način se obrazci nikoli ne pošljejo in izognejo se izkoriščanju XSS.
Kaj povzroča sporočilo o napaki ‘ERR_BLOCKED_BY_XSS_AUDITOR’ v Chromu?
Kot že omenjeno, nedavna gradnja Chrome prenovil revizor XSS, tako da ranljivosti XSS niso izkoriščene. Zaradi tega boste morda prejeli sporočilo o napaki, če niste ustrezno posodobili izvorne kode.
Večino časa obstaja lažno pozitiven ko brskalnik verjame, da je prisiljen napad na »skript med stranmi«. Ti napadi se zgodijo predvsem takrat, ko brskalnik preslepi, da upodobi JavaScript ali HTML, ki ni del prikaznega vidika spletnega mesta.
Rešitev (če upravljate spletno mesto)
Če ste skrbnik spletnega mesta in se to sporočilo o napaki pojavlja ob običajni uporabi, ga lahko poskusite odstraniti tako, da v glave POST dodate nekaj naslovov strani. To je začasna rešitev, dokler ne dobite ustrezne alternative, ki pravilno obravnava zahtevo revizorja XSS.
PHP
V datoteko PHP dodajte naslednjo glavo:
glava ('X-XSS-Zaščita: 0');ASP.NET
Tu začasno onemogočamo zaščito XSS, dokler v izvorno kodo ne dodate ustreznega upravljavca.
HttpContext.Response.AddHeader ("X-XSS-Protection", "0");Če konfigurirate Web.Config datoteko, lahko namesto nje dodate naslednjo kodo:
[...]
Preverjanje zahteve strežnika ASP.NET
V nekaterih primerih bo strežnik zavrnil zahtevo POST, tudi če smo dodali zahtevano glavo. Druga rešitev je uporaba „Zahteva. Neveljavno“, Ki bo objekt, ustvarjen posebej za obdelavo pridobivanja„ nevarnih “podatkovnih zahtev.
var code = Request.Unvalidated.Form ["koda"];
To bo najverjetneje delovalo samo za Preverjanje zahteve za ASP.NET.
Če uporabljate spletni obrazci, lahko uporabiš:
Če uporabljate MVC, lahko uporabimo[ValidateInput (false)]', Ki je atribut na krmilniku. To se naredi, da se prepreči preverjanje veljavnosti.
[ValidateInput (false)] public ActionResult Convert (zahteva CodeRequest) {...}Nastavitve IIS HttpRuntime
IIS Express Visual studio uporablja za spletne storitve in je ena najpogosteje uporabljenih arhitektur do danes. Ko uporabljate ASP.NET, lahko IIS blokira vašo zahtevo, še preden ASP.NET pridobi nadzor. Poskusili bomo to izklopiti v web.config in poskusite pridobiti staro vedenje z uporabo naslednje kode:
Če tega ne storimo, IIS ne bo uspel in zavrnil zahtevo, še preden bo posredovana v ASP.NET.
Opomba: Te rešitve so dobra ideja, če je vaše spletno mesto nedostopno in vam povzroča izgubo. Moral bi nenehno spremenite svojo izvorno kodo, da boste lahko pravilno uporabljali XSS Auditor. Uporabljajte jih le začasno, dokler ne najdete ustreznega popravka.
Rešitev (če spletnega mesta ne upravljate)
Če ste redni uporabnik in nimate dostopa do spletnega mesta ali ga ne upravljate, lahko poskusite zagnati Chrome brez XSS Auditor. Ustvarili bomo bližnjico brskalnika Google Chrome in dodali potrebne zastavice, da ga zaženemo v našem stanju.
- Z desno miškino tipko kliknite kjer koli na namizju in izberite Novo> Bližnjica.
- Zdaj prilepite naslednje vrstice kode glede na različico brskalnika Google Chrome, nameščeno v računalniku.
Za 64-bitni Chrome
"C: \ Program Files \ Google \ Chrome \ Application \ chrome.exe" -disable-xss-auditor
Za 32-bitni Chrome
"C: \ Program Files (x86) \ Google \ Chrome \ Application \ chrome.exe" -disable-xss-auditor
- Zdaj bo ustvarjena vaša bližnjica za Chrome. Zdaj poskusite dostopati do spletnega mesta in preverite, ali je sporočilo o napaki odpravljeno.
Opomba: Ta metoda onemogoča XSS Auditor v vašem brskalniku, ki je sestavni del varnostnega mehanizma. Nadaljujte na lastno odgovornost in priporočamo, da to funkcijo uporabljate le začasno.
