Correção: ERR_BLOCKED_BY_XSS_AUDITOR
O Chrome está constantemente em desenvolvimento ativo, com novas versões lançadas de vez em quando para incluir novos recursos e melhorias de segurança. O Chrome não é usado apenas para navegação; Ele também é usado para muitos serviços da Web que os desenvolvedores usam.
Com o recente build do Chrome 57, a detecção de auditores XSS foi amplamente melhorada. Eles tinham novas diretrizes definidas, devido às quais os serviços da Web pararam de funcionar e forneceram a mensagem de erro 'ERR_BLOCKED_BY_XSS_AUDITOR '.
Essa mensagem de erro é causada quando o conteúdo HTML está sendo enviado pelo método POST dentro da solicitação. O Google Chrome tem um recurso de Segurança XSS que sempre analisa o HTML enviado por formulários e bloqueia essas solicitações. Dessa forma, os formulários nunca são enviados e as explorações de XSS são evitadas.
O que causa a mensagem de erro "ERR_BLOCKED_BY_XSS_AUDITOR" no Chrome?
Como mencionado anteriormente, a versão recente do Chrome reformulou o Auditor XSS para que as vulnerabilidades do XSS não sejam exploradas. Por causa disso, você pode receber a mensagem de erro se não tiver atualizado seu código-fonte adequadamente.
Na maioria das vezes, há um falso positivo quando o navegador acredita que um ataque "cross-site scripting" está sendo forçado. Esses ataques ocorrem principalmente quando o navegador é induzido a renderizar JavaScript ou HTML que não faz parte do aspecto de exibição do site.
Solução (se você administrar o site)
Se você é um administrador de site e essa mensagem de erro está ocorrendo quando você está tendo um uso normal, você pode tentar removê-lo adicionando alguns cabeçalhos de página nos cabeçalhos do POST. Esta é uma correção temporária até que você possa vir com uma alternativa adequada que manipule adequadamente a solicitação do Auditor XSS.
PHP
Adicione o seguinte cabeçalho no seu arquivo PHP:
cabeçalho ('X-XSS-Protection: 0');
ASP.NET
Aqui estamos desabilitando a proteção XSS temporariamente até que você possa adicionar o manipulador adequado em seu código-fonte.
HttpContext.Response.AddHeader ("X-XSS-Protection", "0");
Se você estiver configurando o arquivo Web.Config, poderá adicionar o seguinte código:
[...]
Validação de solicitação do servidor ASP.NET
Em alguns casos, o servidor rejeitará a solicitação POST, mesmo que tenhamos adicionado o cabeçalho necessário. Outra solução alternativa é usar ' Request.Unvalidated ', que será um objeto criado especificamente para manipular a obtenção de solicitação de dados 'insegura'.
código var = Request.Unvalidated.Form ["code"];
Isso provavelmente funcionará apenas para o ASP.NET Request Validation .
Se você estiver usando formulários da web, poderá usar:
Se você está fazendo uso do MVC, podemos fazer uso de ' [ValidateInput (false)] ', que é um atributo no controlador. Isso é feito para impedir a validação.
[ValidateInput (false)] public ActionResult Converter (solicitação CodeRequest) {...}
Configurações do IIS HttpRuntime
O IIS Express é usado pelo Visual Studio para serviços da Web e é uma das arquiteturas mais usadas até hoje. Quando você está usando o ASP.NET, o IIS pode bloquear sua solicitação antes mesmo de o ASP.NET obter controle. Vamos tentar desligar isso no web.config e tentar obter o comportamento antigo usando o seguinte código:
Se não fizermos isso, o IIS falhará e rejeitará a solicitação antes mesmo de ser passada para o ASP.NET.
Observação: essas soluções alternativas são uma boa ideia se o site estiver inacessível e estiver causando uma perda. Você deve sempre modificar seu código-fonte para poder manipular o Auditor XSS adequadamente. Use-os apenas temporariamente até conseguir uma correção adequada.
Solução (se você não administrar o site)
Se você é um usuário comum e não tem acesso ou administra o site, pode tentar iniciar o Chrome sem o Auditor XSS. Vamos criar um atalho do Google Chrome e adicionar as bandeiras necessárias para lançá-lo em nossa condição.
- Clique com o botão direito do mouse em qualquer lugar da sua área de trabalho e selecione Novo> Atalho .
- Agora cole as seguintes linhas de código de acordo com a versão do Google Chrome instalada no seu computador.
Para o Chrome de 64 bits
"C: \ Arquivos de Programas \ Google \ Chrome \ Application \ chrome.exe" -disable-xss-auditor
Para o Chrome de 32 bits
"C: \ Arquivos de programas (x86) \ Google \ Chrome \ Application \ chrome.exe" -disable-xss-auditor
- Seu atalho do Chrome será criado agora. Agora tente acessar o site e verifique se a mensagem de erro foi solucionada.
Nota: Este método está desativando o Auditor XSS no seu navegador, que é parte integrante do mecanismo de segurança. Por favor, proceda por sua conta e risco e é recomendável que você use este recurso apenas temporariamente.