it-swarm.com.de

Der XSS-Auditor von Chromium hat sich geweigert, ein Skript auszuführen

Dies ist eine Meldung aus dem Chrome Inspector:

Der XSS Auditor verweigerte ein Skript in auszuführen http://localhost/Disposable Working NOTAS.php, Weil ihr Quellcode innerhalb der Anforderung gefunden wurde. Der Auditor wurde aktiviert, da der Server weder einen 'X-XSS-Protection'- noch einen' Content-Security-Policy'-Header gesendet hat.

Ich habe ein paar Dutzend Websites auf localhost auf meinem Notebook, die ich für einen großen Teil meines Workflows benutze, und in den letzten Tagen hat sich nach einer Aktualisierung von Chrome etwas Hübsches geändert Der gesamte Textinhalt der Website wird nicht mehr in einer Datei gespeichert.

Der Code, der die vorgenommenen Änderungen gespeichert hat, ist einheitlich fehlerhaft. Ich gebe neuen Text ein, klicke auf speichern und mein Browser öffnet einfach eine neue leere Seite, anstatt die Datei zu schreiben, die Unterprogramme im Skript für die Webseite, auf der ich arbeite. Wenn ich dann auf die Schaltfläche "Zurück" drücke, wird im Textbereich immer noch der frisch hinzugefügte Inhalt angezeigt, aber in der Datei werden keine Änderungen angehängt.

27
MountainMan

Wenn Sie Chrome deaktivieren möchten, um den XSS-Schutz zu deaktivieren, können Sie ein X-XSS-Protection Header mit einem Wert von 0. Da Sie anscheinend PHP verwenden, fügen Sie dies an einer Stelle hinzu, an der es immer ausgeführt wird, bevor Inhalte ausgegeben werden:

header("X-XSS-Protection: 0");
43
icktoofay

Wenn Sie von XSS Auditor blockiert werden, sollten Sie überprüfen, ob Ihr Code eine XSS-Sicherheitslücke aufweist, bevor Sie ihn einfach deaktivieren.

Wenn Sie von XSS Auditor blockiert werden, besteht die Möglichkeit, dass Sie eine XSS-Sicherheitsanfälligkeit haben und diese einfach nicht bemerken. Wenn Sie den XSS Auditor einfach deaktivieren, bleiben Sie verwundbar: Er behandelt die Symptome und nicht die Grunderkrankung (die Hauptursache).

17
D.W.

Ich bin auf genau das gleiche Problem gestoßen, als ich kürzlich XSS studiert habe. Der folgende Screenshot zeigt eine PHP Möglichkeit, Chrome XSS Auditor zu umgehen.

Füge einfach - header hinzu ("X-XSS-Protection: 0");

enter image description here

2
Leo Bi