Fix: ERR_BLOCKED_BY_XSS_AUDITOR – Appuals.com

Chrome wird ständig weiterentwickelt. Hin und wieder werden neue Versionen veröffentlicht, die neue Funktionen und Sicherheitsverbesserungen enthalten. Chrome wird nicht nur zum Surfen verwendet. Es wird auch für viele Webdienste verwendet, die Entwickler verwenden.

ERR_BLOCKED_BY_XSS_AUDITOR in Chrome

Mit dem kürzlich erstellten Chrome 57-Build wurde die XSS-Auditorerkennung erheblich verbessert. Sie hatten neue Richtlinien festgelegt, aufgrund derer die Webdienste nicht mehr funktionierten und die Fehlermeldung ausgaben ‘ERR_BLOCKED_BY_XSS_AUDITOR‘.

Diese Fehlermeldung wird verursacht, wenn HTML-Inhalte innerhalb der Anforderung über die POST-Methode gesendet werden. Google Chrome verfügt über eine XSS-Sicherheitsfunktion, die immer den über Formulare übermittelten HTML-Code analysiert und diese Anforderungen blockiert. Auf diese Weise werden die Formulare niemals gesendet und XSS-Exploits werden vermieden.

Was verursacht die Fehlermeldung ‘ERR_BLOCKED_BY_XSS_AUDITOR’ in Chrome?

Wie bereits erwähnt, ist die neuer Build of Chrome hat den XSS Auditor überarbeitet, damit die XSS-Schwachstellen nicht ausgenutzt werden. Aus diesem Grund erhalten Sie möglicherweise die Fehlermeldung, wenn Sie Ihren Quellcode nicht entsprechend aktualisiert haben.

Meistens gibt es eine falsch positiv wenn der Browser glaubt, dass ein Cross-Site-Scripting-Angriff erzwungen wird. Diese Angriffe treten hauptsächlich auf, wenn der Browser dazu verleitet wird, JavaScript oder HTML zu rendern, was nicht Teil des Anzeigeaspekts der Website ist.

Lösung (Wenn Sie die Website verwalten)

Wenn Sie ein Website-Administrator sind und diese Fehlermeldung bei normaler Verwendung auftritt, können Sie versuchen, sie zu entfernen, indem Sie den POST-Headern einige Seitenkopfzeilen hinzufügen. Dies ist eine vorübergehende Korrektur, bis Sie eine geeignete Alternative finden, die die XSS Auditor-Anforderung ordnungsgemäß verarbeitet.

PHP

Fügen Sie Ihrer PHP-Datei den folgenden Header hinzu:

header('X-XSS-Protection:0');

ASP.NET

Hier deaktivieren wir den XSS-Schutz vorübergehend, bis Sie den richtigen Handler in Ihren Quellcode einfügen können.

HttpContext.Response.AddHeader("X-XSS-Protection","0");

Wenn Sie das konfigurieren Web.Config Datei können Sie stattdessen den folgenden Code hinzufügen:

<system.webServer>

    <httpProtocol>

        <customHeaders>

            <add name="X-XSS-Protection" value="0" />

        </customHeaders>

    [...]

ASP.NET Server Request Validation

In einigen Fällen lehnt der Server die POST-Anforderung ab, selbst wenn wir den erforderlichen Header hinzugefügt haben. Eine andere Problemumgehung ist die Verwendung von ‘Request.Unvalidated‘Dies ist ein Objekt, das speziell für den Erhalt einer’ unsicheren ‘Datenanforderung erstellt wurde.

var code = Request.Unvalidated.Form["code"];

Dies wird höchstwahrscheinlich nur für funktionieren Validierung der ASP.NET-Anforderung.

Wenn Sie verwenden Webformularekönnen Sie verwenden:

<@ Page validateRequest="false" %>

Wenn Sie nutzen MVCkönnen wir nutzen von ‘[ValidateInput(false)]‘Das ist ein Attribut auf dem Controller. Dies geschieht, um eine Validierung zu verhindern.

[ValidateInput(false)]

public ActionResult Convert(CodeRequest request)

{ ... }

IIS HttpRuntime-Einstellungen

IIS Express wird von Visual Studio für Webdienste verwendet und ist eine der am häufigsten verwendeten Architekturen. Wenn Sie ASP.NET verwenden, blockiert IIS möglicherweise Ihre Anforderung, noch bevor ASP.NET die Kontrolle erlangt. Wir werden versuchen, dies auszuschalten web.config und versuchen Sie, das alte Verhalten mit dem folgenden Code zu erlangen:

<httpRuntime requestValidationMode="2.0"/>

Wenn dies nicht der Fall ist, schlägt IIS fehl und lehnt die Anforderung ab, noch bevor sie an ASP.NET weitergeleitet wird.

Hinweis: Diese Problemumgehungen sind eine gute Idee, wenn auf Ihre Website nicht zugegriffen werden kann und Sie einen Verlust verursachen. Du solltest immer Ändern Sie Ihren Quellcode, damit Sie mit dem XSS Auditor ordnungsgemäß umgehen können. Verwenden Sie diese nur vorübergehend, bis Sie eine ordnungsgemäße Lösung gefunden haben.

Lösung (Wenn Sie die Website nicht verwalten)

Wenn Sie ein regulärer Benutzer sind und keinen Zugriff auf die Website haben oder diese nicht verwalten, können Sie versuchen, Chrome ohne den XSS Auditor zu starten. Wir werden eine Verknüpfung von Google Chrome erstellen und die erforderlichen Flags hinzufügen, um es in unserem Zustand zu starten.

  1. Klicken Sie mit der rechten Maustaste auf eine beliebige Stelle auf Ihrem Desktop und wählen Sie Neu> Verknüpfung.
  2. Fügen Sie nun die folgenden Codezeilen entsprechend der auf Ihrem Computer installierten Version von Google Chrome ein.

Für 64-Bit-Chrome

"C:Program FilesGoogleChromeApplicationchrome.exe" -disable-xss-auditor

Für 32-Bit-Chrome

"C:Program Files (x86)GoogleChromeApplicationchrome.exe" -disable-xss-auditor
Öffnen von Chrome mit deaktiviertem XSS Auditor
  1. Ihre Chrome-Verknüpfung wird jetzt erstellt. Versuchen Sie nun, auf die Website zuzugreifen, und überprüfen Sie, ob die Fehlermeldung behoben ist.

Hinweis: Diese Methode deaktiviert XSS Auditor in Ihrem Browser, was ein wesentlicher Bestandteil des Sicherheitsmechanismus ist. Bitte gehen Sie auf eigenes Risiko vor. Es wird empfohlen, diese Funktion nur vorübergehend zu verwenden.

Similar Posts

Leave a Reply

Your email address will not be published.