Chrome: ERR_BLOCKED_BY_XSS_AUDITOR detail

I'm mendapatkan chrome ini bendera ketika mencoba untuk posting dan kemudian mendapatkan bentuk yang sederhana.

Masalahnya adalah bahwa Konsol Pengembang menunjukkan apa-apa tentang hal ini dan saya tidak dapat menemukan sumber masalah dengan diriku sendiri.

Apakah ada pilihan untuk melihat lebih detail? Melihat potongan kode memicu kesalahan untuk memperbaikinya...

Pemrograman
google-chrome xss
6 April 2017 в 8:39
17 tayangan
Mengomentari pertanyaan (4)

Cara sederhana untuk memotong kesalahan ini dalam pengembangan adalah mengirim header browser

Menempatkan header sebelum mengirim data ke browser.

Di php anda dapat mengirim header ini untuk memotong kesalahan ini ,kirim header referensi:

header('X-XSS-Protection:0');

Di ASP.net anda dapat mengirim header ini dan kirim header referensi:

HttpContext.Response.AddHeader("X-XSS-Protection","0");
or 
HttpContext.Current.Response.AddHeader("X-XSS-Protection","0");

Di nodejs mengirim header, kirim header referensi :

res.writeHead(200, {'X-XSS-Protection':0 });
// or express js
res.set('X-XSS-Protection', 0);
A1Gard
Jawaban edit 9 Mei 2018 в 6:51
Komentar (7)
Larutan

Chrome v58 mungkin atau mungkin tidak memperbaiki masalah anda... Itu benar-benar tergantung pada apa yang anda're sebenarnya POSTing. Misalnya, jika anda're mencoba untuk MEMPOSTING beberapa baku HTML/XML data dalam sebuah masukan/pilih/textarea elemen, permintaan anda mungkin masih akan diblokir dari auditor.

Dalam beberapa hari terakhir saya terkena masalah ini dalam dua skenario yang berbeda: WYSIWYG client-side editor dan interaktif form upload yang menampilkan beberapa jenis konten preview. Saya berhasil memperbaiki mereka berdua dengan base64-encoding baku HTML sebelum Postingan ini, maka decoding pada penerima halaman PHP. Hal ini kemungkinan besar akan memperbaiki masalah ini dan, yang paling penting, meningkatkan pengembang's tingkat kesadaran mengenai data yang berasal dari permintaan POST, mudah-mudahan mendorong dia ke mengadopsi efektif data encoding/decoding strategi dan memperkuat mereka di aplikasi web dari XSS-jenis serangan.

Untuk base64-encode konten anda di sisi client anda dapat menggunakan asli btoa() fungsi, yang didukung oleh kebanyakan browser saat ini, atau pihak ketiga alternatif tersebut sebagai plugin jQuery (akhirnya saya menggunakan ini, yang bekerja ok).

Untuk base64 decode the POST data anda kemudian dapat menggunakan PHP's base64_decode(str) fungsi, ASP.NET's Mengkonversi.FromBase64String(str) atau sesuatu yang lain (tergantung pada server-side skenario).

Untuk info lebih lanjut, check out posting blog ini yang saya tulis pada topik.

Darkseal
Jawaban edit 18 Oktober 2018 в 2:55
Komentar (4)

Dalam hal ini, yang pertama kali kontributor di forum Kreatif, (beberapa jenis tulungagung construct) dan dikurangi untuk posting PM ke moderator sebelum akses forum itu adalah mudah bagi seseorang untuk merangkum sifat dari masalah yang lebih populer jawaban di atas. Perintah itu

http://forums.creative.com/private.php?do=insertpm&pmid=

Dan seperti yang dijelaskan di atas sebenarnya data adalah "baku HTML/XML data dalam suatu masukan/pilih/textarea unsur".

Persyaratan umum untuk penanganan seperti bug (atau ciri) pada pengguna akhir adalah beberapa jenis cepat fixit tweak atau bermalas. Post ini membahas opsi untuk menghapus cache, mengatur ulang pengaturan Chrome, membuat new_user atau mencoba kembali operasi dengan yang baru rilis beta. Ia juga menyarankan bahwa satu meluncurkan sebuah instance baru dengan berikut:

google-chrome-stable --disable-xss-auditor

Peluncuran benar-benar bekerja dalam W10 1703 Chrome 061 edisi setelah ini versi modifikasi:

chrome --disable-xss-auditor

Namun, pada log in kembali ke situs tersebut dan mencoba posting lagi, kesalahan yang sama yang dihasilkan. Mungkin sintaks ingin penyulingan atau sesuatu yang lain adalah salah.

Maka tampaknya masuk akal untuk meluncurkan Tepi dan repost dari sana, yang ternyata tidak ada masalah sama sekali.

Laurie Stearn
Jawaban edit 16 Oktober 2017 в 3:53
Komentar (1)

Ini may membantu dalam beberapa keadaan. Memodifikasi Apache httpd.conf file dan tambahkan

ResponseHeader set X-XSS-Protection 0

Itu may telah diperbaiki di Versi 58.0.3029.110 (64-bit)`.

Komentar (2)

I'telah memperhatikan bahwa jika ada apostrof ' dalam teks Chrome akan memblokir itu.

Komentar (0)

Aku memecahkan masalah!

Dalam kasus saya, ketika saya membuat submmit, saya mengirim HTML untuk tindakan dan dalam model saya memiliki sebuah properti yang menerima HTML dengan "AllowHTML".

Solusi ini terdiri dalam menghilangkan ini "AllowHTML" properti dan semuanya berjalan OK!

Jelas saya tidak lagi mengirim HTML aksi karena dalam kasus saya, saya tidak membutuhkannya

Frana
Jawaban edit 11 April 2017 в 4:54
Komentar (0)

Ini adalah bug Chrome. Satu-satunya obat adalah untuk menggunakan FireFox sampai mereka memperbaiki bug Chrome. XSS auditor mencemari halaman, yang telah bekerja dengan baik selama 20 tahun, tampaknya menjadi gejala, bukan penyebab.

Scott C Wilson
Jawaban edit 20 Juli 2017 в 3:47
Komentar (3)

Ketika saya update href dari javascript:void(0) untuk # di halaman POSTpermintaan**, itu bekerja.

Misalnya:

<a href="javascript:void(0)" id="loginlink">login</a>

Perubahan ke:

<a href="#" id="loginlink">login</a>
Komentar (1)