Chromea kehitetään jatkuvasti aktiivisesti, ja uusia versioita julkaistaan silloin tällöin uusien ominaisuuksien ja suojausparannusten sisällyttämiseksi. Chromea ei käytetä vain selaamiseen; sitä käytetään myös monissa verkkopalveluissa, joita kehittäjät käyttävät.
Äskettäisen Chrome 57 -rakennuksen avulla XSS-auditoijan tunnistusta parannettiin huomattavasti. Heille oli asetettu uudet ohjeet, joiden vuoksi verkkopalvelut lakkasivat toimimasta ja antoivat virheilmoituksen 'ERR_BLOCKED_BY_XSS_AUDITOR’.
Tämä virheilmoitus aiheutuu, kun HTML-sisältöä lähetetään pyynnön sisällä POST-menetelmällä. Google Chromessa on XSS-suojausominaisuus, joka analysoi aina lomakkeiden kautta lähetettävän HTML: n ja estää nämä pyynnöt. Tällä tavalla lomakkeita ei koskaan lähetetä läpi ja XSS-hyväksikäyttöjä vältetään.
Mikä aiheuttaa virhesanoman ERR_BLOCKED_BY_XSS_AUDITOR Chromessa?
Kuten aiemmin mainittiin, äskettäin rakennettu Chrome uudisti XSS Auditorin, joten XSS-haavoittuvuuksia ei hyödynnetä. Tästä syystä saatat saada virheilmoituksen, jos et ole päivittänyt lähdekoodiasi vastaavasti.
Suurimman osan ajasta on väärä positiivinen kun selain uskoo, että sivustojen välistä komentosarjahyökkäystä pakotetaan. Nämä hyökkäykset tapahtuvat ensisijaisesti, kun selain huijataan renderöimään JavaScriptiä tai HTML: ää, joka ei ole osa verkkosivuston näyttöominaisuutta.
Ratkaisu (Jos hallinnoit verkkosivustoa)
Jos olet verkkosivuston järjestelmänvalvoja ja tämä virheilmoitus esiintyy normaalin käytön aikana, voit yrittää poistaa sen lisäämällä joitain sivun ylätunnisteita POST-otsikoihin. Tämä on väliaikainen korjaus, kunnes voit löytää oikean vaihtoehdon, joka hoitaa XSS-tarkastajan pyynnön oikein.
PHP
Lisää seuraava otsikko PHP-tiedostoon:
otsikko ('X-XSS-suojaus: 0');ASP.NET
Tässä poistamme XSS-suojauksen käytöstä väliaikaisesti, kunnes voit lisätä oikean käsittelijän lähdekoodiin.
HttpContext.Response.AddHeader ("X-XSS-suojaus", "0");Jos määrität Web.Config tiedosto, voit lisätä sen sijaan seuraavan koodin:
[...]
ASP.NET-palvelin pyytää validointia
Joissakin tapauksissa palvelin hylkää POST-pyynnön, vaikka olemme lisänneet vaaditun otsikon. Toinen kiertotapa on käyttääPyyntö. Vahvistettu’, Joka on objekti, joka on luotu nimenomaan käsittelemään” vaarallisten ”tietopyyntöjen saamista.
var-koodi = Request.Unvalidated.Form ["koodi"];
Tämä todennäköisesti toimii vain ASP.NET-pyynnön vahvistus.
Jos käytät verkkolomakkeet, voit käyttää:
Jos käytät MVC, voimme hyödyntää[ValidateInput (väärä)]’, Joka on ohjaimen attribuutti. Tämä tehdään validoinnin estämiseksi.
[ValidateInput (false)] public ActionResult Convert (CodeRequest-pyyntö) {...}IIS HttpRuntime Settings
Visual studio käyttää IIS Expressiä verkkopalveluihin, ja se on tähän mennessä eniten käytetty arkkitehtuuri. Kun käytät ASP.NET: ää, IIS saattaa estää pyyntösi jo ennen kuin ASP.NET saa hallinnan. Yritämme sammuttaa tämän web.config ja yritä saada vanha käyttäytyminen seuraavalla koodilla:
Jos emme tee tätä, IIS epäonnistuu ja hylkää pyynnön jo ennen sen siirtämistä ASP.NET: lle.
merkintä: Nämä kiertotavat ovat hyvä idea, jos verkkosivustoosi ei pääse ja aiheuttaa sinulle menetyksiä. Sinun pitäisi aina muokkaa lähdekoodiasi, jotta pystyt käsittelemään XSS Auditoria oikein. Käytä näitä vain väliaikaisesti, kunnes pystyt selvittämään oikean korjauksen.
Ratkaisu (Jos et hallinnoi verkkosivustoa)
Jos olet tavallinen käyttäjä ja sinulla ei ole verkkosivuston käyttöoikeuksia tai järjestelmänvalvojaa, voit yrittää käynnistää Chromen ilman XSS Auditoria. Luomme pikakuvakkeen Google Chromesta ja lisäämme tarvittavat liput sen käynnistämiseksi kunnossa.
- Napsauta hiiren kakkospainikkeella mitä tahansa työpöydän kohtaa ja valitse Uusi> Pikakuvake.
- Liitä nyt seuraavat koodirivit tietokoneellesi asennetun Google Chromen version mukaan.
64-bittiselle Chromelle
"C: \ Program Files \ Google \ Chrome \ Application \ chrome.exe" -disable-xss-auditor
32-bittiselle Chromelle
"C: \ Program Files (x86) \ Google \ Chrome \ Application \ chrome.exe" -disable-xss-auditor
- Chrome-pikakuvake luodaan nyt. Yritä nyt käyttää verkkosivustoa ja tarkista, onko virhesanoma ratkaistu.
merkintä: Tämä menetelmä poistaa XSS Auditorin käytöstä selaimessasi, joka on olennainen osa suojausmekanismia. Jatka omalla vastuullasi, ja on suositeltavaa käyttää tätä ominaisuutta vain väliaikaisesti.
