web-dev-qa-db-fra.com

L'auditeur XSS de Chromium a refusé d'exécuter un script

Il s'agit d'un message de l'inspecteur Chrome:

L'auditeur XSS a refusé d'exécuter un script dans http://localhost/Disposable Working NOTAS.php car son code source a été trouvé dans la requête. L'auditeur a été activé car le serveur n'a envoyé ni en-tête "X-XSS-Protection" ni "Content-Security-Policy".

... J'ai quelques dizaines de sites Web assis sur localhost sur mon ordinateur portable que j'utilise pour une grande partie de mon flux de travail, et au cours des deux derniers jours, après une mise à jour Chrome changé quelque chose, assez presque tout le contenu des zones de texte des sites Web n'est plus enregistré dans un fichier.

Le code qui sauvegardait les modifications que j'ai apportées est uniformément cassé; J'entre un nouveau texte, je clique sur enregistrer et mon navigateur, au lieu d'exécuter le fichier ~ écrire des sous-programmes dans le script de la page Web dans laquelle je travaille, ouvre simplement une nouvelle page vierge. Si j'appuie ensuite sur le bouton de retour, la zone de texte affiche toujours le contenu fraîchement ajouté, mais dans le fichier, aucune modification n'est ajoutée.

google-chromechromium
27
MountainMan

Si vous souhaitez indiquer à Chrome pour désactiver sa protection XSS, vous pouvez envoyer un X-XSS-Protection en-tête avec une valeur de 0. Puisque vous semblez utiliser PHP, vous ajouteriez ceci quelque part où il sera toujours exécuté avant la sortie de tout contenu:

header("X-XSS-Protection: 0");
43
icktoofay

Si vous êtes bloqué par XSS Auditor, vous devez vérifier si votre code a une vulnérabilité XSS ou non avant de simplement le désactiver.

Si vous êtes bloqué par XSS Auditor, il y a de fortes chances que vous ayez une vulnérabilité XSS et que vous ne vous en rendiez pas compte. Si vous désactivez simplement l'auditeur XSS, vous resterez vulnérable: il s'agit de traiter les symptômes plutôt que la maladie sous-jacente (la cause profonde).

17
D.W.

J'ai rencontré exactement le même problème lorsque j'étudiais XSS récemment. Et la capture d'écran ci-dessous montre une manière PHP de contourner Chrome XSS Auditor.

Ajoutez simplement - header ("X-XSS-Protection: 0");

enter image description here

2
Leo Bi