aapionline.org
comment

Correction: ERR_BLOCKED_BY_XSS_AUDITOR

Chrome est en développement actif constant et de nouvelles versions sont publiées de temps en temps pour inclure de nouvelles fonctionnalités et des améliorations de la sécurité. Chrome n'est pas uniquement utilisé pour la navigation. il est également utilisé pour de nombreux services Web utilisés par les développeurs.

ERR_BLOCKED_BY_XSS_AUDITOR dans Chrome

Avec la version récente de Chrome 57, la détection XSS auditor a été considérablement améliorée. De nouvelles directives ont été définies en raison desquelles les services Web ont cessé de fonctionner et ont généré le message d'erreur "ERR_BLOCKED_BY_XSS_AUDITOR ".

Ce message d'erreur survient lorsque le contenu HTML est envoyé via la méthode POST dans la demande. Google Chrome dispose d'une fonctionnalité de sécurité XSS qui analyse toujours le code HTML soumis via des formulaires et bloque ces demandes. De cette façon, les formulaires ne sont jamais envoyés et les exploits XSS sont évités.

Quelle est la cause du message d'erreur "ERR_BLOCKED_BY_XSS_AUDITOR" dans Chrome?

Comme mentionné précédemment, la récente version de Chrome a réorganisé le vérificateur XSS Auditor afin que les vulnérabilités XSS ne soient pas exploitées. De ce fait, le message d'erreur peut s'afficher si vous n'avez pas mis à jour votre code source en conséquence.

La plupart du temps, il existe un faux positif lorsque le navigateur estime qu'une attaque par «script intersite» est forcée. Ces attaques surviennent principalement lorsque le navigateur est amené à rendre JavaScript ou HTML, ce qui ne fait pas partie de l'aspect affichage du site Web.

Solution (si vous administrez le site Web)

Si vous êtes un administrateur de site Web et que ce message d'erreur se produit lors d'une utilisation normale, vous pouvez essayer de le supprimer en ajoutant des en-têtes de page dans les en-têtes du POST. Il s’agit d’une solution temporaire jusqu’à ce que vous puissiez proposer une alternative qui gère correctement la demande XSS Auditor.

PHP

Ajoutez l'en-tête suivant dans votre fichier PHP:

 en-tête ('X-XSS-Protection: 0');

ASP.NET

Ici, nous désactivons temporairement la protection XSS jusqu'à ce que vous puissiez ajouter le gestionnaire approprié dans votre code source.

 HttpContext.Response.AddHeader ("Protection X-XSS", "0");

Si vous configurez le fichier Web.Config, vous pouvez également ajouter le code suivant:

 [...]

Validation de la demande de serveur ASP.NET

Dans certains cas, le serveur rejettera la demande POST même si nous avons ajouté l'en-tête requis. Une autre solution consiste à utiliser " Request.Unvalidated ", un objet créé spécifiquement pour gérer l'obtention d'une demande de données "non sécurisée".

 var code = Request.Unvalidated.Form ["code"];

Cela ne fonctionnera probablement que pour la validation de demande ASP.NET .

Si vous utilisez des formulaires Web, vous pouvez utiliser:

Si vous utilisez MVC, nous pouvons utiliser « [ValidateInput (false)] », qui est un attribut du contrôleur. Ceci est fait pour empêcher la validation.
 [ValidateInput (false)] public ActionResult Convert (demande CodeRequest) {...} 
Paramètres IIS HttpRuntime 
IIS Express est utilisé par Visual studio pour les services Web et constitue l’une des architectures les plus utilisées à ce jour. Lorsque vous utilisez ASP.NET, IIS peut bloquer votre demande avant même que ASP.NET obtienne le contrôle. Nous allons essayer de désactiver ceci dans web.config et d'essayer d'obtenir l'ancien comportement en utilisant le code suivant:
Si nous ne le faisons pas, IIS échouera et rejettera la demande avant même qu'elle ne soit transmise à ASP.NET.
Remarque: ces solutions de contournement sont une bonne idée si votre site Web est inaccessible et vous cause une perte. Vous devez toujours modifier votre code source pour pouvoir gérer correctement l'auditeur XSS. Utilisez-les uniquement temporairement jusqu'à ce que vous puissiez trouver une solution appropriée.
Solution (si vous n'administrez pas le site) 
Si vous êtes un utilisateur régulier et que vous n'avez pas accès au site Web ni ne l'administrez, vous pouvez essayer de lancer Chrome sans XSS Auditor. Nous allons créer un raccourci de Google Chrome et ajouter les indicateurs nécessaires pour le lancer dans notre état.
  1. Cliquez avec le bouton droit n'importe où sur votre bureau et sélectionnez Nouveau> Raccourci .
  2. Collez maintenant les lignes de code suivantes en fonction de la version de Google Chrome installée sur votre ordinateur.
Pour Chrome 64 bits
 "C: \ Program Files \ Google \ Chrome \ Application \ chrome.exe" -disable-xss-auditor 
Pour Chrome 32 bits
 "C: \ Fichiers de programme (x86) \ Google \ Chrome \ Application \ chrome.exe" -disable-xss-auditor 
Ouverture de Chrome avec XSS Auditor désactivé 
  1. Votre raccourci Chrome va maintenant être créé. Maintenant, essayez d’accéder au site Web et vérifiez si le message d’erreur est résolu.
Remarque: cette méthode désactive XSS Auditor sur votre navigateur, qui fait partie intégrante du mécanisme de sécurité. Veuillez procéder à vos risques et périls et il est recommandé de n'utiliser cette fonction que temporairement.

		
									

										
								

							

							
							
							

								
Des Articles Intéressants

								

									
									
									
									
								

										Corrigé: Pas de son sur les jeux Steam sur Windows 10
										comment
										
Corrigé: Pas de son sur les jeux Steam sur Windows 10

									

										Corrigé: La mémoire ou l'espace disque est insuffisant dans Word
										comment
										
Corrigé: La mémoire ou l'espace disque est insuffisant dans Word

									

										Corrigé: Code d'erreur Netflix U7363-1261-8004B82E
										comment
										
Corrigé: Code d'erreur Netflix U7363-1261-8004B82E

									

										Qu'est-ce que: Virtualapp / Didlogical
										comment
										
Qu'est-ce que: Virtualapp / Didlogical