Perbaiki: ERR_BLOCKED_BY_XSS_AUDITOR
Chrome terus-menerus dalam pengembangan aktif dengan versi baru yang dirilis sesekali untuk menyertakan fitur baru dan peningkatan keamanan. Chrome tidak hanya digunakan untuk browsing; itu juga digunakan untuk banyak layanan web yang digunakan oleh pengembang.
Dengan versi Chrome 57 terbaru, deteksi auditor XSS jauh lebih baik. Mereka telah menetapkan pedoman baru yang menyebabkan layanan web berhenti bekerja dan memberikan pesan kesalahan ‘ERR_BLOCKED_BY_XSS_AUDITOR’.
Pesan kesalahan ini terjadi ketika konten HTML dikirim melalui metode POST di dalam permintaan. Google Chrome memiliki fitur Keamanan XSS yang selalu menganalisis HTML yang dikirimkan melalui formulir dan memblokir permintaan tersebut. Dengan cara ini, formulir tidak pernah dikirim dan eksploitasi XSS dihindari.
Apa yang menyebabkan pesan kesalahan 'ERR_BLOCKED_BY_XSS_AUDITOR' di Chrome?
Seperti disebutkan sebelumnya, file bangunan baru-baru ini Chrome mengubah Auditor XSS sehingga kerentanan XSS tidak dieksploitasi. Karena itu, Anda mungkin menerima pesan kesalahan jika Anda belum memperbarui kode sumber Anda.
Sebagian besar waktu, ada positif palsu saat browser yakin bahwa serangan 'skrip lintas situs' sedang dipaksakan. Serangan ini terutama terjadi ketika browser tertipu untuk merender JavaScript atau HTML yang bukan merupakan bagian dari aspek tampilan situs web.
Solusi (Jika Anda mengelola situs web)
Jika Anda adalah administrator situs web dan pesan kesalahan ini muncul saat Anda sedang dalam penggunaan normal, Anda dapat mencoba menghapusnya dengan menambahkan beberapa header halaman ke dalam header POST. Ini adalah perbaikan sementara sampai Anda mendapatkan alternatif yang tepat yang menangani permintaan Auditor XSS dengan benar.
PHP
Tambahkan header berikut di file PHP Anda:
header ('X-XSS-Protection: 0');
ASP.NET
Di sini kami menonaktifkan perlindungan XSS untuk sementara sampai Anda dapat menambahkan penangan yang tepat di kode sumber Anda.
HttpContext.Response.AddHeader ("X-XSS-Protection", "0");
Jika Anda mengonfigurasi file Web.Config file, Anda dapat menambahkan kode berikut sebagai gantinya:
[...]
Validasi Permintaan Server ASP.NET
Dalam beberapa kasus, server akan menolak permintaan POST meskipun kami telah menambahkan header yang diperlukan. Solusi lain adalah dengan menggunakan 'Request.Unvalidated'Yang akan menjadi objek yang dibuat khusus untuk menangani perolehan permintaan data' tidak aman '.
var code = Request.Unvalidated.Form ["code"];
Ini kemungkinan besar hanya akan berhasil Validasi Permintaan ASP.NET.
Jika Anda menggunakan formulir web, kamu bisa memakai:
<@ Page validateRequest="false" %>
Jika Anda memanfaatkan MVC, kita dapat menggunakan '[ValidasiInput(salah)]'Yang merupakan atribut pada pengontrol. Ini dilakukan untuk mencegah validasi.
[ValidateInput (false)] public ActionResult Convert (permintaan CodeRequest) {...}
Pengaturan IIS HttpRuntime
IIS Express digunakan oleh Visual studio untuk layanan web dan merupakan salah satu arsitektur yang paling banyak digunakan hingga saat ini. Ketika Anda menggunakan ASP.NET, IIS mungkin memblokir permintaan Anda bahkan sebelum ASP.NET memperoleh kendali. Kami akan mencoba mematikannya di web.config dan mencoba untuk mendapatkan perilaku lama menggunakan kode berikut:
Jika kita tidak melakukan ini, IIS akan gagal dan menolak permintaan bahkan sebelum diteruskan ke ASP.NET.
catatan: Solusi ini adalah ide bagus jika situs web Anda tidak dapat diakses dan menyebabkan kerugian bagi Anda. Kamu harus selalu ubah kode sumber Anda sehingga Anda dapat menangani Auditor XSS dengan benar. Gunakan ini hanya untuk sementara sampai Anda dapat melakukan perbaikan yang tepat.
Solusi (Jika Anda tidak mengelola situs web)
Jika Anda adalah pengguna biasa dan tidak memiliki akses atau mengelola situs web, Anda dapat mencoba meluncurkan Chrome tanpa Auditor XSS. Kami akan membuat pintasan Google Chrome dan menambahkan bendera yang diperlukan untuk meluncurkannya dalam kondisi kami.
- Klik kanan di mana saja di desktop Anda dan pilih Baru> Pintasan.
- Sekarang tempel baris kode berikut sesuai dengan versi Google Chrome yang dipasang di komputer Anda.
Untuk Chrome 64-bit
"C: \ Program Files \ Google \ Chrome \ Application \ chrome.exe" -disable-xss-auditor
Untuk Chrome 32-bit
"C: \ Program Files (x86) \ Google \ Chrome \ Application \ chrome.exe" -disable-xss-auditor
- Pintasan Chrome Anda sekarang akan dibuat. Sekarang coba akses situs web dan periksa apakah pesan kesalahan teratasi.
catatan: Metode ini menonaktifkan Auditor XSS di browser Anda yang merupakan bagian integral dari mekanisme keamanan. Silakan lanjutkan dengan risiko Anda sendiri dan Anda disarankan untuk hanya menggunakan fitur ini untuk sementara.