Το Chrome βρίσκεται συνεχώς σε ενεργή ανάπτυξη με νέες εκδόσεις που κυκλοφορούν κάθε τόσο για να περιλαμβάνει νέες δυνατότητες και βελτιώσεις ασφαλείας. Το Chrome δεν χρησιμοποιείται μόνο για περιήγηση. Χρησιμοποιείται επίσης για πολλές υπηρεσίες ιστού που χρησιμοποιούν οι προγραμματιστές.
Με την πρόσφατη έκδοση του Chrome 57, η ανίχνευση του ελεγκτή XSS βελτιώθηκε σημαντικά. Είχαν καθορίσει νέες οδηγίες λόγω των οποίων οι υπηρεσίες διαδικτύου σταμάτησαν να λειτουργούν και έδωσαν το μήνυμα σφάλματος «ERR_BLOCKED_BY_XSS_AUDITOR’.
Αυτό το μήνυμα σφάλματος προκαλείται κατά την αποστολή περιεχομένου HTML μέσω της μεθόδου POST εντός του αιτήματος. Το Google Chrome διαθέτει μια λειτουργία XSS Security που αναλύει πάντα τον HTML που υποβάλλεται μέσω φορμών και αποκλείει αυτά τα αιτήματα. Με αυτόν τον τρόπο, τα έντυπα δεν αποστέλλονται ποτέ και αποφεύγονται οι εκμεταλλεύσεις XSS.
Τι προκαλεί το μήνυμα σφάλματος "ERR_BLOCKED_BY_XSS_AUDITOR" στο Chrome;
Όπως αναφέρθηκε προηγουμένως, το πρόσφατη κατασκευή του Chrome ανανέωσε το XSS Auditor έτσι ώστε οι ευπάθειες XSS να μην αξιοποιηθούν. Εξαιτίας αυτού, ενδέχεται να λάβετε το μήνυμα σφάλματος εάν δεν έχετε ενημερώσει τον πηγαίο κώδικα αναλόγως.
Τις περισσότερες φορές, υπάρχει ψευδώς θετικό όταν το πρόγραμμα περιήγησης πιστεύει ότι εξαναγκάζεται μια επίθεση «cross-site scripting». Αυτές οι επιθέσεις συμβαίνουν κατά κύριο λόγο όταν το πρόγραμμα περιήγησης εξαπατάται για απόδοση JavaScript ή HTML που δεν αποτελεί μέρος της όψης εμφάνισης του ιστότοπου.
Λύση (Εάν διαχειρίζεστε τον ιστότοπο)
Εάν είστε διαχειριστής ιστότοπου και αυτό το μήνυμα σφάλματος εμφανίζεται όταν έχετε κανονική χρήση, μπορείτε να προσπαθήσετε να το καταργήσετε προσθέτοντας ορισμένες κεφαλίδες σελίδας στις κεφαλίδες POST. Αυτή είναι μια προσωρινή επιδιόρθωση έως ότου μπορείτε να έρθετε με μια κατάλληλη εναλλακτική λύση που χειρίζεται σωστά το αίτημα ελεγκτή XSS.
PHP
Προσθέστε την ακόλουθη κεφαλίδα στο αρχείο PHP:
κεφαλίδα ('X-XSS-Protection: 0');ASP.NET
Εδώ απενεργοποιούμε προσωρινά την προστασία XSS έως ότου μπορείτε να προσθέσετε τον κατάλληλο χειριστή στον πηγαίο σας κώδικα.
HttpContext.Response.AddHeader ("X-XSS-Protection", "0");Εάν διαμορφώνετε το Web.Config αρχείο, μπορείτε να προσθέσετε τον ακόλουθο κώδικα αντί:
[...]
Επικύρωση αιτήματος διακομιστή ASP.NET
Σε ορισμένες περιπτώσεις, ο διακομιστής θα απορρίψει το αίτημα POST ακόμα και αν έχουμε προσθέσει την απαιτούμενη κεφαλίδα. Ένας άλλος τρόπος αντιμετώπισης είναι η χρήση του «Αίτημα. Μη επικυρωμένο«Που θα είναι ένα αντικείμενο που δημιουργήθηκε ειδικά για να χειριστεί τη λήψη« μη ασφαλούς »αιτήματος δεδομένων.
var code = Request.Unvalidated.Form ["code"];
Αυτό πιθανότατα θα λειτουργήσει μόνο Αίτηση επικύρωσης ASP.NET.
Εάν χρησιμοποιείτε φόρμες ιστού, μπορείς να χρησιμοποιήσεις:
Εάν χρησιμοποιείτε MVC, μπορούμε να χρησιμοποιήσουμε το «[ValidateInput (false)]«Που είναι ένα χαρακτηριστικό στον ελεγκτή. Αυτό γίνεται για να αποφευχθεί η επικύρωση.
[ValidateInput (false)] δημόσια μετατροπή ActionResult (αίτημα CodeRequest) {...}Ρυθμίσεις IIS HttpRuntime
Το IIS Express χρησιμοποιείται από το Visual studio για υπηρεσίες διαδικτύου και είναι μια από τις πιο χρησιμοποιούμενες αρχιτεκτονικές μέχρι σήμερα. Όταν χρησιμοποιείτε ASP.NET, οι υπηρεσίες IIS ενδέχεται να αποκλείσουν το αίτημά σας ακόμη και πριν το ASP.NET αποκτήσει έλεγχο. Θα προσπαθήσουμε να το απενεργοποιήσουμε web.config και προσπαθήστε να αποκτήσετε την παλιά συμπεριφορά χρησιμοποιώντας τον ακόλουθο κώδικα:
Εάν δεν το κάνουμε αυτό, οι υπηρεσίες IIS θα αποτύχουν και θα απορρίψουν το αίτημα ακόμη και προτού μεταβιβαστούν στο ASP.NET.
Σημείωση: Αυτές οι λύσεις είναι καλή ιδέα εάν ο ιστότοπός σας δεν είναι προσβάσιμος και σας προκαλεί απώλεια. Θα έπρεπε πάντα τροποποιήστε τον πηγαίο κώδικα, ώστε να μπορείτε να χειριστείτε το XSS Auditor σωστά. Χρησιμοποιήστε τα προσωρινά μόνο μέχρι να μπορέσετε να επιλύσετε μια σωστή επιδιόρθωση.
Λύση (Εάν δεν διαχειρίζεστε τον ιστότοπο)
Εάν είστε κανονικός χρήστης και δεν έχετε πρόσβαση ή διαχειριστείτε τον ιστότοπο, μπορείτε να δοκιμάσετε να εκκινήσετε το Chrome χωρίς το XSS Auditor. Θα δημιουργήσουμε μια συντόμευση του Google Chrome και θα προσθέσουμε τις απαραίτητες σημαίες για να το ξεκινήσουμε στην κατάσταση μας.
- Κάντε δεξί κλικ οπουδήποτε στην επιφάνεια εργασίας σας και επιλέξτε Νέο> Συντόμευση.
- Τώρα επικολλήστε τις ακόλουθες γραμμές κώδικα σύμφωνα με την έκδοση του Google Chrome που είναι εγκατεστημένη στον υπολογιστή σας.
Για Chrome 64-bit
"C: \ Program Files \ Google \ Chrome \ Application \ chrome.exe" -disable-xss-auditor
Για Chrome 32-bit
"C: \ Program Files (x86) \ Google \ Chrome \ Application \ chrome.exe" -disable-xss-auditor
- Η συντόμευση Chrome θα δημιουργηθεί τώρα. Τώρα δοκιμάστε να αποκτήσετε πρόσβαση στον ιστότοπο και ελέγξτε αν έχει επιλυθεί το μήνυμα σφάλματος.
Σημείωση: Αυτή η μέθοδος απενεργοποιεί το XSS Auditor στο πρόγραμμα περιήγησής σας, το οποίο αποτελεί αναπόσπαστο μέρος του μηχανισμού ασφαλείας. Προχωρήστε με δική σας ευθύνη και συνιστάται να χρησιμοποιείτε αυτήν τη λειτουργία μόνο προσωρινά.
