수정 : ERR_BLOCKED_BY_XSS_AUDITOR

Chrome은 현재 출시 된 새로운 버전으로 꾸준히 개발 중이며 새로운 기능과 보안 개선 사항을 포함하고 있습니다. 크롬은 브라우징에만 사용되는 것이 아닙니다. 또한 개발자가 사용하는 많은 웹 서비스에도 사용됩니다.

Chrome의 ERR_BLOCKED_BY_XSS_AUDITOR

최근 Chrome 57 빌드에서는 XSS 감사 기능 감지 기능이 크게 향상되었습니다. 웹 서비스의 작동이 중지되어 오류 메시지 'ERR_BLOCKED_BY_XSS_AUDITOR '가 발생하여 새로운 지침이 설정되었습니다.

이 오류 메시지는 HTML 컨텐츠가 요청 내부의 POST 메소드를 통해 전송 될 때 발생합니다. Chrome에는 XSS 보안 기능이있어 양식을 통해 제출되는 HTML을 항상 분석하고 해당 요청을 차단합니다. 이런 방식으로 양식이 전송되지 않으며 XSS 익스플로잇을 피할 수 있습니다.

Chrome에서 'ERR_BLOCKED_BY_XSS_AUDITOR'오류 메시지의 원인은 무엇입니까?

앞에서 언급했듯이 최근 Chrome 빌드 는 XSS Auditor를 개선하여 XSS 취약성이 악용되지 않았습니다. 이로 인해 소스 코드를 적절히 업데이트하지 않은 경우 오류 메시지가 표시 될 수 있습니다.

대부분의 경우, 브라우저가 '교차 사이트 스크립팅'공격이 강요되고 있다고 믿는 경우 오 탐지가 발생합니다. 이러한 공격은 주로 브라우저가 웹 사이트의 디스플레이 측면에 포함되지 않는 JavaScript 또는 HTML을 렌더링하도록 속일 때 발생합니다.

솔루션 (웹 사이트를 관리하는 경우)

웹 사이트 관리자이고 정상적인 사용시이 오류 메시지가 발생하는 경우 POST 헤더에 일부 페이지 헤더를 추가하여 제거 할 수 있습니다. 이는 XSS Auditor 요청을 올바르게 처리하는 적절한 대안을 제공 할 때까지의 임시 수정 사항입니다.

PHP

PHP 파일에 다음 헤더를 추가하십시오.

 헤더 ( 'X-XSS-Protection : 0'); 

ASP.NET

여기서는 소스 코드에 적절한 핸들러를 추가 할 때까지 XSS 보호를 일시적으로 비활성화합니다.

 HttpContext.Response.AddHeader ( "X-XSS-Protection", "0"); 

Web.Config 파일을 구성하는 경우 대신 다음 코드를 추가 할 수 있습니다.

 [...] 

ASP.NET 서버 요청 유효성 검사

경우에 따라 필요한 헤더를 추가하더라도 서버가 POST 요청을 거부합니다. 또 다른 해결 방법은 ' Request.Unvalidated '를 사용하여 '안전하지 않은'데이터 요청 획득을 처리하기 위해 특별히 생성 된 객체입니다.

 var code = Request.Unvalidated.Form [ "code"]; 

이것은 아마도 ASP.NET 요청 유효성 검사 에서만 작동합니다.

웹 양식을 사용하는 경우 다음을 사용할 수 있습니다.

MVC 를 사용하는 경우 컨트롤러의 속성 인 ' [ValidateInput (false)] '를 사용할 수 있습니다. 이것은 유효성 검사를 방지하기 위해 수행됩니다.

 [ValidateInput (false)] 공개 ActionResult 변환 (CodeRequest 요청) {...} 

IIS HttpRuntime 설정

IIS Express는 Visual Studio에서 웹 서비스를 위해 사용되며 현재 가장 많이 사용되는 아키텍처 중 하나입니다. ASP.NET을 사용하는 경우 ASP.NET이 제어권을 얻기 전에도 IIS가 요청을 차단할 수 있습니다. web.config 에서이 기능을 끄고 다음 코드를 사용하여 이전 동작을 시도합니다.

이 작업을 수행하지 않으면 IIS는 ASP.NET으로 전달되기 전에도 요청을 거부하고 거부합니다.

참고 : 웹 사이트에 액세스 할 수없고 손실을 일으키는 경우 이러한 해결 방법을 사용하는 것이 좋습니다. XSS Auditor를 올바르게 처리 할 수 ​​있도록 항상 소스 코드를 수정해야합니다. 적절한 수정을 수행 할 수있을 때까지 임시로만 사용하십시오.

솔루션 (웹 사이트를 관리하지 않는 경우)

일반 사용자이고 웹 사이트에 액세스하거나 관리 할 수없는 경우 XSS Auditor없이 Chrome을 시작할 수 있습니다. Chrome 바로 가기를 생성하고 필요한 플래그를 추가하여 현재 상태에서 시작합니다.

  1. 데스크탑의 아무 곳이나 마우스 오른쪽 단추로 클릭하고 새로 작성> 바로 가기를 선택하십시오.
  2. 이제 컴퓨터에 설치된 Chrome 버전에 따라 다음 코드 줄을 붙여 넣습니다.

64 비트 Chrome의 경우

 "C : \ Program Files \ Google \ Chrome \ Application \ chrome.exe"-disable-xss-auditor 

32 비트 Chrome의 경우

 "C : \ Program Files (x86) \ Google \ Chrome \ Application \ chrome.exe"-disable-xss-auditor 

XSS Auditor가 비활성화 된 상태에서 Chrome 열기
  1. Chrome 바로 가기가 생성됩니다. 이제 웹 사이트에 액세스하여 오류 메시지가 해결되었는지 확인하십시오.

참고 : 이 방법은 보안 메커니즘의 필수 부분 인 브라우저에서 XSS Auditor를 비활성화합니다. 자신의 책임하에 진행하십시오.이 기능은 일시적으로 만 사용하는 것이 좋습니다.

재미있는 기사