Chrome: ERR_BLOCKED_BY_XSS_AUDITOR细节

Question

我得到这个铬标志时，试图张贴，然后得到一个简单的形式。

问题是，开发人员控制台对此没有任何显示，我无法自己找到问题的根源。

有没有更多的细节可供选择？查看这段代码触发错误修复它..。

Answer 1

Chrome v58 可能或可能无法解决您的问题.这取决于你到底是什么POSTing。例如，如果您试图在输入/select/textarea元素中发布一些原始的HTML/XML数据，那么您的请求可能仍然会被审计员阻止。

在过去的几天里，我在两个不同的场景中遇到了这个问题:一个WYSIWYG客户端编辑器和一个具有某种内容预览功能的交互式上传表单。我设法通过page 64来修复它们--在POSTing之前对原始的HTML进行编码，然后在接收的PHP页面上解码它。这很可能解决这个问题，最重要的是，提高开发人员对来自POST请求的数据的认识水平，希望能促使他采用有效的数据编码/解码策略，并加强他们的web应用程序，使其免受XSS类型的攻击。

要在客户端对您的内容进行编码，您可以使用本机btoa()函数 (现在大多数浏览器都支持它)，也可以使用第三方的替代方案，比如jQuery插件(我最后使用了这，它运行得很好)。

要解码POST数据，可以使用PHP的base64_decode(str)函数、ASP.NET的Convert.FromBase64String(str)或其他(取决于服务器端场景)。

要了解更多信息，请查看我所写的关于这个主题的这篇博客文章。

Answer 2

在开发中绕过此错误的简单方法是将报头发送到浏览器。

将标题放在将数据发送到浏览器之前。

在php中，您可以发送此头以绕过此错误，发送标头引用

header('X-XSS-Protection:0');

在ASP.net中，您可以发送这个标头和发送标头引用

HttpContext.Response.AddHeader("X-XSS-Protection","0");
or 
HttpContext.Current.Response.AddHeader("X-XSS-Protection","0"); 

在nodejs发送头中，发送标头引用：

res.writeHead(200, {'X-XSS-Protection':0 });
// or express js
res.set('X-XSS-Protection', 0);

Answer 3

在这种情况下，作为创意论坛的第一次贡献者，(某种类型的vBulletin构造)，并且减少到在论坛访问之前向版主发布一个PM，对于一个人来说很容易从上面更流行的答案中封装这个问题的本质。命令是

http://forums.creative.com/private.php?do=insertpm&pmid=

如上所述，实际数据是“输入/select/textarea元素中的原始HTML/XML数据”。

在用户端处理这样的错误(或特性)的一般要求是某种快速的修复、调整或旋转。这个职位讨论了清除缓存、重置Chrome设置、创建new_user或使用新的beta版本重新尝试操作的选项。还有人建议启动一个新实例，其内容如下：

google-chrome-stable --disable-xss-auditor

这款W10 1703 Chrome 061版的启动实际上是在这个修改版本之后进行的：

chrome --disable-xss-auditor

但是，在重新登录到站点并再次尝试post时，也会生成相同的错误。也许语法需要改进，或者其他的地方不对劲。

然后，它似乎是合理的启动边缘和重新发布从那里，这原来是没有问题的。