Fix: ERR_BLOCKED_BY_XSS_AUDITOR
Chrome wird ständig weiterentwickelt. Hin und wieder werden neue Versionen veröffentlicht, die neue Funktionen und Sicherheitsverbesserungen enthalten. Chrome wird nicht nur zum Surfen verwendet. Es wird auch für viele Webdienste verwendet, die Entwickler verwenden.
Mit dem kürzlich erstellten Chrome 57-Build wurde die Erkennung von XSS-Auditoren erheblich verbessert. Sie hatten neue Richtlinien festgelegt, aufgrund derer die Webdienste nicht mehr funktionierten und die Fehlermeldung ausgaben ‘ERR_BLOCKED_BY_XSS_AUDITOR’.
Diese Fehlermeldung wird verursacht, wenn HTML-Inhalte innerhalb der Anforderung über die POST-Methode gesendet werden. Google Chrome verfügt über eine XSS-Sicherheitsfunktion, die immer den über Formulare übermittelten HTML-Code analysiert und diese Anforderungen blockiert. Auf diese Weise werden die Formulare niemals gesendet und XSS-Exploits werden vermieden.
Was verursacht die Fehlermeldung "ERR_BLOCKED_BY_XSS_AUDITOR" in Chrome?
Wie bereits erwähnt, ist die neuer Build of Chrome hat den XSS Auditor überarbeitet, damit die XSS-Schwachstellen nicht ausgenutzt werden. Aus diesem Grund erhalten Sie möglicherweise die Fehlermeldung, wenn Sie Ihren Quellcode nicht entsprechend aktualisiert haben.
Meistens gibt es eine falsch positiv wenn der Browser glaubt, dass ein Cross-Site-Scripting-Angriff erzwungen wird. Diese Angriffe treten hauptsächlich auf, wenn der Browser dazu verleitet wird, JavaScript oder HTML zu rendern, die nicht Teil des Anzeigeaspekts der Website sind.
Lösung (Wenn Sie die Website verwalten)
Wenn Sie ein Website-Administrator sind und diese Fehlermeldung bei normaler Verwendung auftritt, können Sie versuchen, sie zu entfernen, indem Sie den POST-Headern einige Seitenkopfzeilen hinzufügen. Dies ist eine vorübergehende Korrektur, bis Sie eine geeignete Alternative finden, die die XSS Auditor-Anforderung ordnungsgemäß verarbeitet.
PHP
Fügen Sie Ihrer PHP-Datei den folgenden Header hinzu:
Header ('X-XSS-Schutz: 0');
ASP.NET
Hier deaktivieren wir den XSS-Schutz vorübergehend, bis Sie den richtigen Handler in Ihren Quellcode einfügen können.
HttpContext.Response.AddHeader ("X-XSS-Schutz", "0");
Wenn Sie das konfigurieren Web.Config Datei können Sie stattdessen den folgenden Code hinzufügen:
[...]
ASP.NET Server Request Validation
In einigen Fällen lehnt der Server die POST-Anforderung auch dann ab, wenn wir den erforderlichen Header hinzugefügt haben. Eine andere Problemumgehung ist die Verwendung von ‘Request.Unvalidated“, ein Objekt, das speziell für den Erhalt von „unsicheren“ Datenanfragen erstellt wurde.
var code = Request.Unvalidated.Form ["code"];
Dies wird höchstwahrscheinlich nur für funktionieren ASP.NET-Anforderungsvalidierung.
Wenn Sie verwenden Webformularekönnen Sie verwenden:
<@ Page validateRequest="false" %>
Wenn Sie davon Gebrauch machen MVCkönnen wir nutzen von[ValidateInput (false)]Dies ist ein Attribut auf dem Controller. Dies geschieht, um eine Validierung zu verhindern.
[ValidateInput (false)] public ActionResult Convert (CodeRequest-Anforderung) {...}
IIS HttpRuntime-Einstellungen
IIS Express wird von Visual Studio für Webdienste verwendet und ist eine der am häufigsten verwendeten Architekturen. Wenn Sie ASP.NET verwenden, blockiert IIS möglicherweise Ihre Anforderung, noch bevor ASP.NET die Kontrolle erlangt. Wir werden versuchen, dies auszuschalten web.config und versuchen Sie, das alte Verhalten mit dem folgenden Code zu erlangen:
Wenn dies nicht der Fall ist, schlägt IIS fehl und lehnt die Anforderung ab, noch bevor sie an ASP.NET weitergeleitet wird.
Hinweis: Diese Problemumgehungen sind eine gute Idee, wenn auf Ihre Website nicht zugegriffen werden kann und Sie einen Verlust verursachen. Du solltest immer Ändern Sie Ihren Quellcode, damit Sie mit dem XSS Auditor ordnungsgemäß umgehen können. Verwenden Sie diese nur vorübergehend, bis Sie eine ordnungsgemäße Lösung gefunden haben.
Lösung (Wenn Sie die Website nicht verwalten)
Wenn Sie ein regelmäßiger Benutzer sind und keinen Zugriff auf die Website haben oder diese nicht verwalten, können Sie versuchen, Chrome ohne XSS Auditor zu starten. Wir werden eine Verknüpfung von Google Chrome erstellen und die erforderlichen Flags hinzufügen, um es in unserem Zustand zu starten.
- Klicken Sie mit der rechten Maustaste auf eine beliebige Stelle auf Ihrem Desktop und wählen Sie Neu> Verknüpfung.
- Fügen Sie nun die folgenden Codezeilen entsprechend der auf Ihrem Computer installierten Version von Google Chrome ein.
Für 64-Bit-Chrome
"C: \ Programme \ Google \ Chrome \ Application \ chrome.exe" -disable-xss-auditor
Für 32-Bit-Chrome
"C: \ Programme (x86) \ Google \ Chrome \ Application \ chrome.exe" -disable-xss-auditor
- Ihre Chrome-Verknüpfung wird jetzt erstellt. Versuchen Sie nun, auf die Website zuzugreifen, und überprüfen Sie, ob die Fehlermeldung behoben ist.
Hinweis: Diese Methode deaktiviert XSS Auditor in Ihrem Browser, was ein wesentlicher Bestandteil des Sicherheitsmechanismus ist. Bitte gehen Sie auf eigenes Risiko vor. Es wird empfohlen, diese Funktion nur vorübergehend zu verwenden.