Düzeltme: ERR_BLOCKED_BY_XSS_AUDITOR

Kılavuzlar

Chrome, ara sıra piyasaya sürülen yeni sürümlerle, yeni özellikler ve güvenlik iyileştirmeleri içerecek şekilde sürekli olarak aktif olarak geliştirilmektedir. Chrome yalnızca gezinmek için kullanılmaz; aynı zamanda geliştiricilerin yararlandığı birçok web hizmeti için de kullanılmaktadır.

En son Chrome 57 yapısıyla, XSS denetçi tespiti büyük ölçüde iyileştirildi. Web hizmetlerinin çalışmayı durdurması nedeniyle yeni yönergeler belirlendi ve 'ERR_BLOCKED_BY_XSS_AUDITOR ' hata mesajını verdiler .

Bu hata mesajı, HTML içeriği istek içinde POST yöntemi ile gönderildiğinde ortaya çıkar. Google Chrome, formlar aracılığıyla gönderilen HTML'yi her zaman analiz eden ve bu istekleri engelleyen bir XSS Güvenlik özelliğine sahiptir. Bu şekilde, formlar asla gönderilmez ve XSS açıklarından kaçınılır.

Chrome'da 'ERR_BLOCKED_BY_XSS_AUDITOR' hata mesajına ne sebep olur?

Daha önce de belirtildiği gibi , Chrome'un son yapısı XSS Auditor'ı yeniledi, böylece XSS güvenlik açıklarından yararlanılmadı. Bu nedenle, kaynak kodunuzu uygun şekilde güncellemediyseniz, hata mesajını alabilirsiniz.

Çoğu zaman, tarayıcı bir 'siteler arası komut dosyası çalıştırma' saldırısının zorlandığına inandığında yanlış bir pozitif vardır . Bu saldırılar, öncelikle tarayıcı, web sitesinin görüntüleme yönünün bir parçası olmayan JavaScript veya HTML'yi oluşturması için kandırıldığında gerçekleşir.

Çözüm (Web sitesini yönetiyorsanız)

Bir web sitesi yöneticisiyseniz ve bu hata mesajı, normal bir kullanım sırasında ortaya çıkıyorsa, POST başlıklarına bazı sayfa başlıkları ekleyerek onu kaldırmayı deneyebilirsiniz. Bu, XSS Auditor talebini doğru bir şekilde yerine getiren uygun bir alternatifle gelene kadar geçici bir düzeltmedir.

PHP

Aşağıdaki başlığı PHP dosyanıza ekleyin:

başlık ('X-XSS-Koruması: 0');

ASP.NET

Burada, kaynak kodunuza uygun işleyiciyi ekleyene kadar XSS korumasını geçici olarak devre dışı bırakıyoruz.

HttpContext.Response.AddHeader ("X-XSS Koruması", "0");

Web.Config dosyasını yapılandırıyorsanız, bunun yerine aşağıdaki kodu ekleyebilirsiniz:

                                         [...]

ASP.NET Sunucusu Talep Doğrulaması

Bazı durumlarda, gerekli başlığı eklemiş olsak bile sunucu POST isteğini reddedecektir. Başka bir geçici çözüm, özellikle 'güvenli olmayan' veri talebinin alınmasını işlemek için oluşturulmuş bir nesne olan 'İstek Geçersiz Kılındı ' seçeneğini kullanmaktır .

var code = Request.Unvalidated.Form ["kod"];

Bu muhtemelen yalnızca ASP.NET İstek Doğrulaması için çalışacaktır .

Web formları kullanıyorsanız şunları kullanabilirsiniz:


  
Eğer yararlanarak ise MVC , biz 'yararlanabilirler [ValidateInput (false)] denetleyicisinde bir özelliktir.' Bu, doğrulamayı önlemek için yapılır.

  
[ValidateInput (false)] genel ActionResult Dönüştürme (CodeRequest isteği) {...}

  
IIS HttpRuntime Ayarları

  
IIS Express, Web hizmetleri için Visual Studio tarafından kullanılmaktadır ve bugüne kadar en çok kullanılan mimarilerden biridir. ASP.NET kullanırken, IIS, ASP.NET denetimi ele geçirmeden önce isteğinizi engelleyebilir. Bunu web.config içinde kapatmaya çalışacağız ve aşağıdaki kodu kullanarak eski davranışı kazanmaya çalışacağız:

  

  
Bunu yapmazsak, IIS başarısız olur ve isteği ASP.NET'e aktarılmadan önce bile reddeder.

  
Not: Web sitenize erişilemiyorsa ve kayba neden oluyorsa bu geçici çözümler iyi fikirdir. Sen gerektiğini hep düzgün XSS Auditor işleyebilir böylece kaynak kodunu değiştirin. Bunları yalnızca uygun bir düzeltme yapana kadar geçici olarak kullanın.

  
Çözüm (Web sitesini yönetmiyorsanız)

  
Normal bir kullanıcıysanız ve web sitesine erişiminiz veya yöneticisi değilseniz, XSS Auditor olmadan Chrome'u başlatmayı deneyebilirsiniz. Bir Google Chrome kısayolu oluşturacağız ve bizim durumumuzda başlatmak için gerekli bayrakları ekleyeceğiz.

  
    
   
  1. Masaüstünüzde herhangi bir yeri sağ tıklayın ve Yeni> Kısayol'u seçin .
    2. 
   
  2. Şimdi, bilgisayarınızda yüklü olan Google Chrome sürümüne göre aşağıdaki kod satırlarını yapıştırın.
    3. 
  

  
64 bit Chrome için

  
"C: \ Program Files \ Google \ Chrome \ Application \ chrome.exe" -devre dışı-xss-auditor

  
32 bit Chrome için

  
"C: \ Program Files (x86) \ Google \ Chrome \ Application \ chrome.exe" -disable-xss-auditor

  
  
    
   
  1. Chrome kısayolunuz şimdi oluşturulacak. Şimdi web sitesine erişmeyi deneyin ve hata mesajının çözülüp çözülmediğini kontrol edin.
    2. 
  

  
Not: Bu yöntem, güvenlik mekanizmasının ayrılmaz bir parçası olan tarayıcınızda XSS Auditor'ı devre dışı bırakmaktadır. Lütfen kendi sorumluluğunuzda ilerleyin ve bu özelliği yalnızca geçici olarak kullanmanız önerilir.