Correzione: ERR_BLOCKED_BY_XSS_AUDITOR

Consigli: Clicca Qui Per Correggere Gli Errori Di Windows E Ottimizzare Le Prestazioni Del Sistema

Chrome è costantemente in fase di sviluppo attivo con nuove versioni rilasciate di tanto in tanto per includere nuove funzionalità e miglioramenti della sicurezza. Chrome non viene utilizzato solo per la navigazione; è anche usato per molti servizi web di cui gli sviluppatori fanno uso.

ERR_BLOCKED_BY_XSS_AUDITOR in Chrome

Con la recente build di Chrome 57, il rilevamento di auditor XSS è stato notevolmente migliorato. Avevano stabilito nuove linee guida a causa delle quali i servizi web smettevano di funzionare e davano il messaggio di errore "ERR_BLOCKED_BY_XSS_AUDITOR ".

Questo messaggio di errore viene generato quando il contenuto HTML viene inviato tramite il metodo POST all'interno della richiesta. Google Chrome ha una funzione di sicurezza XSS che analizza sempre l'HTML inviato tramite moduli e blocca tali richieste. In questo modo, i moduli non vengono mai inviati e gli exploit XSS vengono evitati.

Che cosa causa il messaggio di errore "ERR_BLOCKED_BY_XSS_AUDITOR" in Chrome?

Come accennato in precedenza, la recente build di Chrome ha rinnovato l'XSS Auditor in modo che le vulnerabilità dell'XSS non vengano sfruttate. Per questo motivo, potresti ricevere il messaggio di errore se non hai aggiornato il codice sorgente di conseguenza.

Il più delle volte, c'è un falso positivo quando il browser ritiene che sia stato forzato un attacco "cross-site scripting". Questi attacchi si verificano principalmente quando il browser viene indotto a rendere JavaScript o HTML che non fa parte dell'aspetto di visualizzazione del sito Web.

Soluzione (se si gestisce il sito Web)

Se sei un amministratore del sito Web e questo messaggio di errore si verifica quando si utilizza normalmente, puoi provare a rimuoverlo aggiungendo alcune intestazioni di pagina nelle intestazioni POST. Questa è una soluzione temporanea fino a quando non puoi trovare un'alternativa adeguata che gestisce correttamente la richiesta di XSS Auditor.

PHP

Aggiungi la seguente intestazione nel tuo file PHP:

 intestazione ( 'X-XSS-Protection: 0'); 

ASP.NET

Qui stiamo disabilitando temporaneamente la protezione XSS fino a quando non è possibile aggiungere il gestore corretto nel codice sorgente.

 HttpContext.Response.AddHeader ( "X-XSS-Protection", "0"); 

Se stai configurando il file Web.Config, puoi invece aggiungere il seguente codice:

 [...] 

Convalida richiesta server ASP.NET

In alcuni casi, il server rifiuterà la richiesta POST anche se abbiamo aggiunto l'intestazione richiesta. Un'altra soluzione alternativa consiste nell'utilizzare " Request.Unvalidated " che sarà un oggetto creato appositamente per gestire l'ottenimento di una richiesta di dati "non sicura".

 var code = Request.Unvalidated.Form ["code"]; 

Molto probabilmente funzionerà solo per la convalida della richiesta ASP.NET .

Se si utilizzano moduli Web, è possibile utilizzare:

Se si utilizza MVC, è possibile utilizzare " [ValidateInput (false)] " che è un attributo sul controller. Questo viene fatto per impedire la convalida.

 [ValidateInput (false)] ActionResult Convert pubblico (richiesta CodeRequest) {...} 

Impostazioni di IIS HttpRuntime

IIS Express è utilizzato da Visual Studio per i servizi Web ed è una delle architetture più utilizzate fino ad oggi. Quando si utilizza ASP.NET, IIS potrebbe bloccare la richiesta anche prima che ASP.NET acquisisca il controllo. Proveremo a disattivarlo in web.config e proveremo a ottenere il vecchio comportamento usando il seguente codice:

In caso contrario, IIS non riuscirà e rifiuterà la richiesta anche prima che venga passata ad ASP.NET.

Nota: queste soluzioni alternative sono una buona idea se il tuo sito Web è inaccessibile e ti sta causando una perdita. È sempre necessario modificare il codice sorgente in modo da poter gestire correttamente XSS Auditor. Utilizzali solo temporaneamente finché non riesci a trovare una soluzione adeguata.

Soluzione (se non si gestisce il sito Web)

Se sei un utente normale e non hai accesso o gestisci il sito Web, puoi provare ad avviare Chrome senza XSS Auditor. Creeremo un collegamento di Google Chrome e aggiungeremo i flag necessari per avviarlo nelle nostre condizioni.

  1. Fare clic con il tasto destro in qualsiasi punto del desktop e selezionare Nuovo> Collegamento .
  2. Ora incolla le seguenti righe di codice in base alla versione di Google Chrome installata sul tuo computer.

Per Chrome a 64 bit

 "C: \ Programmi \ Google \ Chrome \ Application \ chrome.exe" -disable-xss-auditor 

Per Chrome a 32 bit

 "C: \ Programmi (x86) \ Google \ Chrome \ Application \ chrome.exe" -disable-xss-auditor 

Apertura di Chrome con XSS Auditor disattivato
  1. Il tuo collegamento di Chrome verrà ora creato. Ora prova ad accedere al sito Web e controlla se il messaggio di errore è stato risolto.

Nota: questo metodo disabilita XSS Auditor sul tuo browser, che è parte integrante del meccanismo di sicurezza. Procedere a proprio rischio e si consiglia di utilizzare questa funzione solo temporaneamente.

Articoli Interessanti