Chrome è costantemente in fase di sviluppo attivo con nuove versioni rilasciate di tanto in tanto per includere nuove funzionalità e miglioramenti della sicurezza. Chrome non viene utilizzato solo per la navigazione; viene utilizzato anche per molti servizi web di cui fanno uso gli sviluppatori.
Con la recente build di Chrome 57, il rilevamento dell'auditor XSS è stato notevolmente migliorato. Avevano nuove linee guida impostate a causa delle quali i servizi web hanno smesso di funzionare e hanno fornito il messaggio di errore "ERR_BLOCKED_BY_XSS_AUDITOR ".
Questo messaggio di errore viene visualizzato quando il contenuto HTML viene inviato tramite il metodo POST all'interno della richiesta. Google Chrome ha una funzione di sicurezza XSS che analizza sempre l'HTML inviato tramite moduli e blocca tali richieste. In questo modo, i moduli non vengono mai inviati e gli exploit XSS vengono evitati.
Cosa causa il messaggio di errore "ERR_BLOCKED_BY_XSS_AUDITOR" in Chrome?
Come accennato in precedenza, la recente build di Chrome ha rinnovato XSS Auditor in modo che le vulnerabilità XSS non vengano sfruttate. Per questo motivo, potresti ricevere il messaggio di errore se non hai aggiornato il codice sorgente di conseguenza.
Il più delle volte, c'è un falso positivo quando il browser ritiene che sia stato forzato un attacco di "cross-site scripting". Questi attacchi si verificano principalmente quando il browser viene indotto con l'inganno a rendere JavaScript o HTML che non fa parte dell'aspetto di visualizzazione del sito web.
Soluzione (se amministri il sito web)
Se sei un amministratore di un sito web e questo messaggio di errore si verifica durante un utilizzo normale, puoi provare a rimuoverlo aggiungendo alcune intestazioni di pagina nelle intestazioni POST. Questa è una soluzione temporanea fino a quando non si riesce a trovare un'alternativa adeguata che gestisca correttamente la richiesta di XSS Auditor.
PHP
Aggiungi la seguente intestazione nel tuo file PHP:
intestazione ("Protezione X-XSS: 0");
ASP.NET
Qui stiamo disabilitando temporaneamente la protezione XSS fino a quando non puoi aggiungere il gestore appropriato nel tuo codice sorgente.
HttpContext.Response.AddHeader ("X-XSS-Protection", "0");
Se stai configurando il file Web.Config , puoi aggiungere invece il codice seguente:
[...]
Convalida della richiesta del server ASP.NET
In alcuni casi, il server rifiuterà la richiesta POST anche se abbiamo aggiunto l'intestazione richiesta. Un'altra soluzione alternativa è utilizzare " Request.Unvalidated ", un oggetto creato appositamente per gestire l'ottenimento di richieste di dati "non sicure".
var code = Request.Unvalidated.Form ["codice"];
Molto probabilmente funzionerà solo per la convalida delle richieste ASP.NET .
Se stai usando moduli web , puoi usare:
Se stai utilizzando MVC , possiamo fare uso di " [ValidateInput (false)] ", che è un attributo sul controller. Questo viene fatto per impedire la convalida.
[ValidateInput (false)] conversione ActionResult pubblica (richiesta CodeRequest) {...}
Impostazioni HttpRuntime di IIS
IIS Express è utilizzato da Visual Studio per i servizi Web ed è una delle architetture più utilizzate fino ad oggi. Quando si utilizza ASP.NET, IIS potrebbe bloccare la richiesta anche prima che ASP.NET acquisisca il controllo. Proveremo a disattivarlo in web.config e proveremo a ottenere il vecchio comportamento utilizzando il codice seguente:
Se non lo facciamo, IIS fallirà e rifiuterà la richiesta anche prima che venga passata ad ASP.NET.
Nota: queste soluzioni alternative sono una buona idea se il tuo sito web è inaccessibile e ti causa una perdita. Dovresti sempre modificare il codice sorgente in modo da poter gestire correttamente XSS Auditor. Usali solo temporaneamente fino a quando non riesci a trovare una soluzione adeguata.
Soluzione (se non amministri il sito web)
Se sei un utente normale e non hai accesso o amministra il sito web, puoi provare ad avviare Chrome senza XSS Auditor. Creeremo un collegamento di Google Chrome e aggiungeremo i flag necessari per avviarlo nelle nostre condizioni.
- Fare clic con il pulsante destro del mouse in un punto qualsiasi del desktop e selezionare Nuovo> Collegamento .
- Ora incolla le seguenti righe di codice in base alla versione di Google Chrome installata sul tuo computer.
Per Chrome a 64 bit
"C: \ Programmi \ Google \ Chrome \ Application \ chrome.exe" -disable-xss-auditor
Per Chrome a 32 bit
"C: \ Programmi (x86) \ Google \ Chrome \ Application \ chrome.exe" -disable-xss-auditor
- Il tuo collegamento Chrome verrà ora creato. Ora prova ad accedere al sito web e controlla se il messaggio di errore è stato risolto.
Nota: questo metodo disabilita XSS Auditor sul browser che è parte integrante del meccanismo di sicurezza. Procedi a tuo rischio e ti consigliamo di utilizzare questa funzione solo temporaneamente.