Crómio: ERR_BLOCKED_BY_XSS_AUDITOR detalhes

Chrome v58 *might*** ou might not**** fixe o seu problema... Depende realmente do que você're realmente POSTING. Por exemplo, se você'estiver a tentar POSTAR alguns dados HTML/XML em bruto num elemento de entrada/selecção/área de texto, o seu pedido pode ainda estar bloqueado ao auditor.

Nos últimos dias, atingi esta edição em dois cenários diferentes: um editor WYSIWYG client-side e um formulário de carregamento interactivo com algum tipo de pré-visualização do conteúdo. Consegui corrigi-los ambos através da codificação base64 do HTML em bruto antes de o POSTAR, depois descodificá-lo na página de recepção do PHP. Isto irá muito provavelmente corrigir o problema e, mais importante ainda, aumentar o nível de consciencialização do programador's relativamente aos dados provenientes de pedidos POST, empurrando-o para a adopção de estratégias eficazes de codificação/descodificação de dados e reforçar a sua aplicação web a partir de ataques do tipo XSS.

Para basear64- codificar o seu conteúdo no lado do cliente pode ou usar a função native btoa(), que é suportada pela maioria dos browsers actualmente, ou uma alternativa de terceiros, tal como um plugin jQuery (acabei por usar isto, que funcionou bem).

Para base64-decodificar os dados POST pode então utilizar a função PHP's base64_decode(str), ASP.NET's Convert.FromBase64String(str) ou qualquer outra coisa (dependendo do seu cenário do lado do servidor).

Para mais informações, consulte este post no blogue que escrevi sobre o tópico.

Quando actualizo href de javascript:void(0) para # na página de **PEDIDO PÓS***, funciona.

Por exemplo:

<a href="javascript:void(0)" id="loginlink">login</a>

Mudar para:

<a href="#" id="loginlink">login</a>

É um insecto cromado. O único remédio é utilizar o FireFox até que corrijam este bug Crómio. O auditor XSS a destruir uma página, que tem funcionado bem durante 20 anos, parece ser um sintoma, não uma causa.