„Chrome“ yra nuolat aktyviai kuriama, kartkartėmis išleidžiamos naujos versijos, į kurias įtraukiamos naujos funkcijos ir saugos patobulinimai. „Chrome“ naudojama ne tik naršymui; jis taip pat naudojamas daugeliui interneto paslaugų, kuriomis naudojasi kūrėjai.
Neseniai sukūrus „Chrome 57“, XSS auditoriaus aptikimas buvo labai patobulintas. Jie nustatė naujas gaires, dėl kurių interneto paslaugos nustojo veikti ir pateikė klaidos pranešimą „ERR_BLOCKED_BY_XSS_AUDITOR’.
Šis klaidos pranešimas kyla, kai HTML turinys užklausoje siunčiamas POST metodu. „Google Chrome“ turi „XSS“ saugos funkciją, kuri visada analizuoja per formas pateiktą HTML ir blokuoja tas užklausas. Tokiu būdu formos niekada nesiunčiamos ir išvengiama XSS naudojimo.
Kas sukelia klaidos pranešimą „ERR_BLOCKED_BY_XSS_AUDITOR“ naršyklėje „Chrome“?
Kaip jau minėta anksčiau, neseniai pastatytas „Chrome“ atnaujino „XSS“ auditorių, todėl XSS pažeidžiamumai nėra išnaudojami. Dėl šios priežasties galite gauti klaidos pranešimą, jei neatnaujinote šaltinio kodo.
Dažniausiai yra a klaidingai teigiamas kai naršyklė mano, kad yra priversta „skirtingų svetainių scenarijaus“ ataka. Šios atakos pirmiausia įvyksta tada, kai naršyklė yra apgaunama pateikiant „JavaScript“ ar HTML, kurie nėra svetainės rodymo aspektas.
Sprendimas (jei administruojate svetainę)
Jei esate svetainės administratorius ir šis klaidos pranešimas pasirodo, kai naudojate įprastą režimą, galite pabandyti jį pašalinti pridėdami keletą puslapio antraščių prie POST antraščių. Tai yra laikinas pataisymas, kol galėsite pateikti tinkamą alternatyvą, kuri tinkamai apdoros „XSS Auditor“ užklausą.
PHP
Įtraukite šią antraštę į savo PHP failą:
antraštė ('X-XSS-Protection: 0');ASP.NET
Čia laikinai išjungiame XSS apsaugą, kol į šaltinio kodą galėsite įtraukti tinkamą tvarkyklę.
„HttpContext.Response.AddHeader“ („X-XSS-Protection“, „0“);
Jei konfigūruojate Žiniatinklis. Konfig failą, vietoj jo galite pridėti šį kodą:
[...]
ASP.NET serverio užklausa patvirtinti
Kai kuriais atvejais serveris atmes POST užklausą, net jei mes pridėjome reikiamą antraštę. Kitas būdas yra naudoti „Užklausa. Patvirtinta“, Kuris bus objektas, sukurtas specialiai tvarkyti„ nesaugių “duomenų užklausų gavimą.
var kodas = Request.Unvalidated.Form ["kodas"];
Tai greičiausiai tiks tik ASP.NET užklausa dėl patvirtinimo.
Jei naudojate interneto formos, tu gali naudoti:
Jei naudojatės MVC, mes galime naudoti „[„ValidateInput“ (klaidinga)]’, Kuris yra valdiklio atributas. Tai daroma siekiant užkirsti kelią patvirtinimui.
[ValidateInput (false)] public ActionResult Convert („CodeRequest“ užklausa) {...}„IIS HttpRuntime Settings“
„IIS Express“ „Visual studio“ naudoja interneto paslaugoms teikti ir yra viena iš iki šiol dažniausiai naudojamų architektūrų. Kai naudojate ASP.NET, IIS gali užblokuoti jūsų užklausą dar prieš ASP.NET valdant. Pabandysime tai išjungti web.config ir pabandykite įgyti seną elgesį naudodami šį kodą:
Jei to nepadarysime, IIS nepavyks ir atmes užklausą dar prieš ją perduodant ASP.NET.
Pastaba: Šie būdai yra gera idėja, jei jūsų svetainė yra nepasiekiama ir nuostolinga. Tu turėtum visada modifikuoti šaltinio kodą, kad galėtumėte tinkamai elgtis su „XSS Auditor“. Laikinai naudokite juos tik tol, kol galėsite tinkamai išspręsti.
Sprendimas (jei netvarkote svetainės)
Jei esate įprastas vartotojas ir neturite prieigos ar administruojate svetainės, galite pabandyti paleisti „Chrome“ be „XSS Auditor“. Sukursime „Google Chrome“ spartųjį klavišą ir pridėsime būtinas žymes, kad galėtume jį paleisti savo būsenoje.
- Dešiniuoju pelės mygtuku spustelėkite bet kurioje darbalaukio vietoje ir pasirinkite Naujas> Spartusis klavišas.
- Dabar įklijuokite šias kodo eilutes pagal kompiuteryje įdiegtą „Google Chrome“ versiją.
Skirta 64 bitų „Chrome“
"C: \ Program Files \ Google \ Chrome \ Application \ chrome.exe" -disable-xss-auditor
Skirta 32 bitų „Chrome“
"C: \ Program Files (x86) \ Google \ Chrome \ Application \ chrome.exe" -disable-xss-auditor
- Dabar bus sukurtas jūsų „Chrome“ spartusis klavišas. Dabar pabandykite pasiekti svetainę ir patikrinkite, ar klaidos pranešimas išspręstas.
Pastaba: Šis metodas neleidžia „XSS Auditor“ jūsų naršyklėje, kuri yra neatskiriama saugos mechanizmo dalis. Tęskite savo pačių rizika ir rekomenduojama šią funkciją naudoti tik laikinai.
