Chrome se nenehno aktivno razvija, vsake toliko pa izidejo nove različice, ki vključujejo nove funkcije in izboljšave varnosti. Chrome se ne uporablja samo za brskanje; uporablja se tudi za številne spletne storitve, ki jih uporabljajo razvijalci.
ERR_BLOCKED_BY_XSS_AUDITOR v Chromu
Z nedavno izdelavo Chrome 57 je bilo zaznavanje revizorja XSS močno izboljšano. Določili so nove smernice, zaradi katerih so spletne storitve prenehale delovati in sporočile napako ‘ERR_BLOCKED_BY_XSS_AUDITOR '.
To sporočilo o napaki se pojavi, ko se vsebina HTML v zahtevi pošilja po metodi POST. Google Chrome ima varnostno funkcijo XSS, ki vedno analizira HTML, ki se pošlje prek obrazcev, in blokira te zahteve. Na ta način se obrazci nikoli ne pošljejo in izognejo se izkoriščanju XSS.
Kaj povzroča sporočilo o napaki ‘ERR_BLOCKED_BY_XSS_AUDITOR’ v Chromu?
Kot že omenjeno, nedavna gradnja Chrome prenovil XSS Auditor, tako da ranljivosti XSS niso izkoriščene. Zaradi tega boste morda prejeli sporočilo o napaki, če niste ustrezno posodobili izvorne kode.
Večino časa obstaja lažno pozitiven ko brskalnik verjame, da je prisiljen napad »skript med stranmi«. Ti napadi se zgodijo predvsem, ko brskalnik preslepi, da upodobi JavaScript ali HTML, ki ni del prikaza strani spletnega mesta.
Rešitev (če upravljate spletno mesto)
Če ste skrbnik spletnega mesta in se to sporočilo o napaki pojavlja ob običajni uporabi, ga lahko poskusite odstraniti tako, da v glave POST dodate nekaj naslovov strani. To je začasna rešitev, dokler ne dobite ustrezne alternative, ki pravilno obravnava zahtevo revizorja XSS.
PHP
V datoteko PHP dodajte naslednjo glavo:
glava ('X-XSS-Zaščita: 0');ASP.NET
Tu začasno onemogočimo zaščito XSS, dokler v izvorno kodo ne dodate ustreznega upravljavca.
HttpContext.Response.AddHeader ('X-XSS-Zaščita
