Chrome està constantment en desenvolupament actiu amb noves versions publicades de tant en tant per incloure noves funcions i millores de seguretat. Chrome no només s’utilitza per navegar; també s'utilitza per a molts serveis web que fan servir els desenvolupadors.
ERR_BLOCKED_BY_XSS_AUDITOR a Chrome
Amb la recent versió de Chrome 57, la detecció de l'auditor XSS es va millorar enormement. Tenien noves directrius establertes a causa de les quals els serveis web deixaven de funcionar i donaven el missatge d'error ‘ERR_BLOCKED_BY_XSS_AUDITOR '.
Aquest missatge d'error es produeix quan s'envia contingut HTML mitjançant el mètode POST dins de la sol·licitud. Google Chrome té una funció de seguretat XSS que sempre analitza l’HTML que s’envia mitjançant formularis i bloqueja aquestes sol·licituds. D’aquesta manera, els formularis no s’envien mai i s’eviten les explotacions XSS.
Què causa el missatge d'error 'ERR_BLOCKED_BY_XSS_AUDITOR' a Chrome?
Com s'ha esmentat abans, el compilació recent de Chrome va renovar l’auditor XSS de manera que no s’exploten les vulnerabilitats XSS. Per això, és possible que rebeu el missatge d'error si no heu actualitzat el codi font en conseqüència.
La majoria de les vegades, hi ha un fals positiu quan el navegador creu que s’està forçant un atac de ‘cross-site scripting’. Aquests atacs es produeixen principalment quan el navegador és enganyat per representar JavaScript o HTML que no forma part de la visualització del lloc web.
Solució (si administreu el lloc web)
Si sou administrador del lloc web i aquest missatge d'error es produeix quan en feu un ús normal, podeu provar d'eliminar-lo afegint algunes capçaleres de pàgina a les capçaleres POST. Aquesta és una solució temporal fins que pugueu presentar una alternativa adequada que gestioni correctament la sol·licitud de l’auditor XSS.
PHP
Afegiu la capçalera següent al fitxer PHP:
capçalera ('X-XSS-Protection: 0');ASP.NET
Aquí desactivarem temporalment la protecció XSS fins que pugueu afegir el controlador adequat al vostre codi font.
HttpContext.Response.AddHeader ('X-XSS-Protection
