Düzeltme: ERR_BLOCKED_BY_XSS_AUDITOR
Chrome, ara sıra yayınlanan yeni sürümlerle, yeni özellikler ve güvenlik iyileştirmeleri içerecek şekilde sürekli olarak aktif olarak geliştirilmektedir. Chrome yalnızca gezinmek için kullanılmaz; aynı zamanda geliştiricilerin yararlandığı birçok web hizmeti için de kullanılmaktadır.
En son Chrome 57 yapısıyla, XSS denetçi tespiti büyük ölçüde iyileştirildi. Web hizmetlerinin çalışmayı durdurması ve hata mesajını vermesi nedeniyle yeni yönergeler belirlediler. "ERR_BLOCKED_BY_XSS_AUDITOR’.
Bu hata mesajı, HTML içeriği istek içinde POST yöntemi ile gönderildiğinde ortaya çıkar. Google Chrome, formlar aracılığıyla gönderilen HTML'yi her zaman analiz eden ve bu istekleri engelleyen bir XSS Güvenlik özelliğine sahiptir. Bu şekilde, formlar asla gönderilmez ve XSS açıklarından kaçınılır.
Chrome'da "ERR_BLOCKED_BY_XSS_AUDITOR" hata mesajına ne sebep olur?
Daha önce bahsedildiği gibi, son yapı Chrome, XSS Denetçisini, XSS güvenlik açıklarından yararlanılmaması için yeniledi. Bu nedenle, kaynak kodunuzu uygun şekilde güncellemediyseniz, hata mesajını alabilirsiniz.
Çoğu zaman bir yanlış pozitif tarayıcı bir "siteler arası komut dosyası çalıştırma" saldırısının zorlandığına inandığında. Bu saldırılar, öncelikle tarayıcı, web sitesinin görüntüleme yönünün bir parçası olmayan JavaScript veya HTML'yi oluşturması için kandırıldığında meydana gelir.
Çözüm (Web sitesini yönetiyorsanız)
Bir web sitesi yöneticisiyseniz ve bu hata mesajı normal bir kullanım sırasında ortaya çıkıyorsa, POST başlıklarına bazı sayfa başlıkları ekleyerek onu kaldırmayı deneyebilirsiniz. Bu, XSS Auditor talebini doğru bir şekilde yerine getiren uygun bir alternatifle gelene kadar geçici bir düzeltmedir.
PHP
PHP dosyanıza aşağıdaki başlığı ekleyin:
başlık ('X-XSS-Koruması: 0');
ASP.NET
Burada, kaynak kodunuza uygun işleyiciyi ekleyene kadar XSS korumasını geçici olarak devre dışı bırakıyoruz.
HttpContext.Response.AddHeader ("X-XSS Koruması", "0");
Yapılandırıyorsanız Web.Config dosya, bunun yerine aşağıdaki kodu ekleyebilirsiniz:
[...]
ASP.NET Sunucu İsteği Doğrulaması
Bazı durumlarda, gerekli başlığı eklemiş olsak bile sunucu POST isteğini reddedecektir. Başka bir çözüm de "Talep Geçersiz"Güvenli olmayan" veri talebini ele almak için özel olarak oluşturulmuş bir nesne olacaktır.
var code = Request.Unvalidated.Form ["kod"];
Bu büyük olasılıkla sadece ASP.NET İstek Doğrulaması.
Eğer kullanıyorsanız web formları, kullanabilirsiniz:
<@ Page validateRequest="false" %>
Kullanıyorsanız MVC"[ValidateInput (false)]"Denetleyicideki bir özniteliktir. Bu, doğrulamayı önlemek için yapılır.
[ValidateInput (false)] genel ActionResult Dönüştürme (CodeRequest isteği) {...}
IIS HttpÇalışma Zamanı Ayarları
IIS Express, Web hizmetleri için Visual Studio tarafından kullanılmaktadır ve bugüne kadar en çok kullanılan mimarilerden biridir. ASP.NET kullanırken, IIS, ASP.NET denetimi ele geçirmeden önce isteğinizi engelleyebilir. Bunu şurada kapatmaya çalışacağız web.config ve aşağıdaki kodu kullanarak eski davranışı kazanmaya çalışın:
Bunu yapmazsak, IIS başarısız olur ve isteği ASP.NET'e aktarılmadan önce bile reddeder.
Not: Web sitenize erişilemiyorsa ve bir kayba neden oluyorsa, bu geçici çözümler iyi fikirdir. Malısın her zaman XSS Auditor'ı doğru şekilde kullanabilmeniz için kaynak kodunuzu değiştirin. Bunları yalnızca uygun bir düzeltme yapana kadar geçici olarak kullanın.
Çözüm (Web sitesini yönetmiyorsanız)
Normal bir kullanıcıysanız ve web sitesine erişiminiz yoksa veya web sitesini yönetemiyorsanız, XSS Auditor olmadan Chrome'u başlatmayı deneyebilirsiniz. Bir Google Chrome kısayolu oluşturacağız ve bizim durumumuzda başlatmak için gerekli bayrakları ekleyeceğiz.
- Masaüstünüzde herhangi bir yere sağ tıklayın ve Yeni> Kısayol.
- Şimdi, bilgisayarınızda yüklü olan Google Chrome sürümüne göre aşağıdaki kod satırlarını yapıştırın.
64 bit Chrome için
"C: \ Program Files \ Google \ Chrome \ Application \ chrome.exe" -devre dışı-xss-auditor
32 bit Chrome için
"C: \ Program Files (x86) \ Google \ Chrome \ Application \ chrome.exe" -disable-xss-auditor
- Chrome kısayolunuz şimdi oluşturulacak. Şimdi web sitesine erişmeyi deneyin ve hata mesajının çözülüp çözülmediğini kontrol edin.
Not: Bu yöntem, güvenlik mekanizmasının ayrılmaz bir parçası olan tarayıcınızda XSS Auditor'ı devre dışı bırakıyor. Lütfen kendi sorumluluğunuzda ilerleyin ve bu özelliği yalnızca geçici olarak kullanmanız önerilir.