Prehliadač Chrome je neustále v aktívnom vývoji. Nové verzie, ktoré tu a tam vychádzajú, obsahujú nové funkcie a vylepšenia zabezpečenia. Chrome sa nepoužíva iba na prehliadanie; Používa sa tiež pre mnoho webových služieb, ktoré vývojári využívajú.
Vďaka nedávnemu zostaveniu prehliadača Chrome 57 sa detekcia audítorov XSS výrazne zlepšila. Mali stanovené nové pokyny, kvôli ktorým webové služby prestali fungovať a dali chybové hlásenie „ERR_BLOCKED_BY_XSS_AUDITOR’.
Táto chybová správa je spôsobená, keď sa obsah HTML odosiela prostredníctvom metódy POST vo vnútri požiadavky. Prehliadač Google Chrome má funkciu zabezpečenia XSS, ktorá vždy analyzuje odosielaný kód HTML prostredníctvom formulárov a blokuje tieto žiadosti. Týmto spôsobom sa formuláre nikdy neodosielajú a nedochádza k zneužitiu XSS.
Čo spôsobuje chybové hlásenie „ERR_BLOCKED_BY_XSS_AUDITOR“ v prehliadači Chrome?
Ako už bolo spomenuté, nedávna stavba prehliadača Chrome vylepšil program XSS Auditor, aby sa nevyužívali chyby zabezpečenia XSS. Z tohto dôvodu sa môže zobraziť chybové hlásenie, ak ste zodpovedajúcim spôsobom neaktualizovali svoj zdrojový kód.
Väčšinou existuje falošne pozitívne keď je prehliadač presvedčený, že je vynútený útok typu „skriptovanie medzi servermi“. Tieto útoky sa vyskytujú hlavne vtedy, keď je prehliadač podvedený k vykresleniu JavaScriptu alebo HTML, ktoré nie sú súčasťou zobrazovacieho aspektu webových stránok.
Riešenie (ak spravujete webovú stránku)
Ak ste správcom webových stránok a toto chybové hlásenie sa zobrazuje, keď máte bežné použitie, môžete sa ho pokúsiť odstrániť pridaním niektorých hlavičiek stránok do hlavičiek POST. Toto je dočasná oprava, kým nenájdete vhodnú alternatívu, ktorá správne spracuje požiadavku audítora XSS.
PHP
Pridajte do svojho súboru PHP nasledujúcu hlavičku:
hlavička ('X-XSS-Protection: 0');ASP.NET
Tu dočasne deaktivujeme ochranu XSS, kým do zdrojového kódu nebudete môcť pridať správny obslužný program.
HttpContext.Response.AddHeader ("X-XSS-Protection", "0");Ak konfigurujete Web.Config súbor, môžete namiesto toho pridať nasledujúci kód:
[...]
Overenie požiadavky servera ASP.NET
V niektorých prípadoch server odmietne požiadavku POST, aj keď sme pridali požadovanú hlavičku. Ďalším riešením je použiť ‘Žiadosť. Neplatné“, Čo bude objekt vytvorený špeciálne na zvládnutie získania„ nebezpečnej “žiadosti o údaje.
var code = Request.Unvalidated.Form ["kód"];
S najväčšou pravdepodobnosťou to bude fungovať iba pre Overenie požiadavky ASP.NET.
Ak používate webové formuláre, môžeš použiť:
Ak využívate MVC, môžeme využiť ‘[ValidateInput (false)]‘, Čo je atribút kontrolóra. Toto sa robí, aby sa zabránilo validácii.
[ValidateInput (false)] public ActionResult Convert (požiadavka CodeRequest) {...}Nastavenia služby IIS HttpRuntime
Službu IIS Express používa Visual studio pre webové služby a je jednou z najbežnejšie používaných architektúr. Keď používate ASP.NET, služba IIS môže vašu požiadavku zablokovať ešte skôr, ako ASP.NET získa kontrolu. Pokúsime sa to vypnúť v web.config a pokúsiť sa získať staré správanie pomocou nasledujúceho kódu:
Ak to neurobíme, IIS zlyhá a odmietne požiadavku ešte predtým, ako sa prenesie na ASP.NET.
Poznámka: Tieto riešenia sú dobrým nápadom, ak je váš web neprístupný a spôsobuje vám stratu. Mal by si vždy upravte svoj zdrojový kód, aby ste mohli správne pracovať s audítorom XSS. Používajte ich iba dočasne, kým nenájdete správnu opravu.
Riešenie (Ak nespravujete webovú stránku)
Ak ste bežným používateľom a nemáte prístup alebo nespravujete web, môžete vyskúšať spustiť prehliadač Chrome bez nástroja XSS Auditor. Vytvoríme odkaz na Google Chrome a pridáme potrebné vlajky, aby sme ho spustili v našom stave.
- Kliknite pravým tlačidlom myši na ľubovoľné miesto na pracovnej ploche a vyberte možnosť Nové> Skratka.
- Teraz vložte nasledujúce riadky kódu podľa verzie prehliadača Google Chrome nainštalovaného v počítači.
Pre 64-bitový Chrome
"C: \ Program Files \ Google \ Chrome \ Application \ chrome.exe" -disable-xss-auditor
Pre 32-bitový Chrome
"C: \ Program Files (x86) \ Google \ Chrome \ Application \ chrome.exe" -disable-xss-auditor
- Vaša skratka pre Chrome bude teraz vytvorená. Teraz skúste prejsť na webovú stránku a skontrolovať, či je chybové hlásenie vyriešené.
Poznámka: Táto metóda zakazuje vo vašom prehliadači nástroj XSS Auditor, ktorý je neoddeliteľnou súčasťou bezpečnostného mechanizmu. Postupujte prosím na svoje vlastné riziko a odporúča sa, aby ste túto funkciu používali iba dočasne.
