Freecodecamp: Chrome zeigt eine Fehlermeldung in iframe an - Ungewöhnlicher Code erkannt
Aktualisieren
Bitte verwenden Sie Firefox, während wir eine Lösung finden. Entschuldigung für die Unannehmlichkeiten.
Herausforderung Das Hinzufügen einer Senden-Schaltfläche zu einem Formular hat ein Problem.
User Agent ist: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) <strong i="11">Chrome/57.0.2987.88</strong> Safari/537.36 .
_Beschreibung bearbeitet von @systimotic zur Verdeutlichung_
Im Telefonrahmen wird eine Warnung angezeigt. Darin heißt es: "Chrome hat auf dieser Seite ungewöhnlichen Code erkannt und blockiert, um Ihre persönlichen Daten (z. B. Passwörter, Telefonnummern und Kreditkarten) zu schützen."
Code:
<link href="https://fonts.googleapis.com/css?family=Lobster" rel="stylesheet" type="text/css">
<style>
.red-text {
color: red;
}
h2 {
font-family: Lobster, Monospace;
}
p {
font-size: 16px;
font-family: Monospace;
}
.thick-green-border {
border-color: green;
border-width: 10px;
border-style: solid;
border-radius: 50%;
}
.smaller-image {
width: 100px;
}
</style>
<h2 class="red-text">CatPhotoApp</h2>
<p>Click here for <a href="#">cat photos</a>.</p>
<a href="#"><img class="smaller-image thick-green-border" alt="A cute orange cat lying on its back. " src="https://bit.ly/fcc-relaxing-cat"></a>
<p>Things cats love:</p>
<ul>
<li>cat nip</li>
<li>laser pointers</li>
<li>lasagna</li>
</ul>
<p>Top 3 things cats hate:</p>
<ol>
<li>flea treatment</li>
<li>thunder</li>
<li>other cats</li>
</ol>
<form action="/submit">
</form>
<form action="/submit-cat-photo">
<input type="text" placeholder="cat photo URL">
</form>
natuan62
Alle 72 Kommentare
@ leekirby6 danke für das Problem. Können Sie weitere Informationen darüber geben, wo Sie diese Benachrichtigung gesehen haben? Ein Screenshot kann ebenfalls hilfreich sein, wenn Sie einen bereitstellen können. Ich erhalte keine Benachrichtigung von Chrome, wenn ich die Seite öffne. Vielen Dank!
erictleung
am 4. März 2017
Oh, ich habe den Screenshot vergessen.
Nichts passiert, wenn ich Firefox benutze.
natuan62
am 4. März 2017
Es könnte mit Chrome Beta zusammenhängen. Siehe # 12655. Es funktioniert gut für mich mit stabilem Chrome. @ leekirby6 Kannst du es mit stabilem Chrome versuchen?
szib
am 4. März 2017
Vielen Dank für Ihr Vertrauen. Ich bevorzuge Beta-Version als stabil:
Ich habe Firefox benutzt!
natuan62
am 4. März 2017
Ist dieser Fehler ein Hinweis darauf, dass Camper dies in einer zukünftigen Version von Chrome sehen werden? Wenn dies der Fall ist, sollten wir wahrscheinlich sicherstellen, dass dies vor der Veröffentlichung behoben ist.
systimotic
am 5. März 2017
Ich kann dies mit Chrome 57 sowohl auf der Beta- als auch auf der Live-Site reproduzieren.
Die Version, in der dies reproduziert werden kann, ist 57.0.2987.88. Aus dem Chrome-Blog am 9. März:
Das Chrome-Team freut sich, die Förderung von Chrome 57 für den stabilen Kanal 57.0.2987.98 für Windows, Mac und Linux bekannt zu geben. Dies wird in den kommenden Tagen / Wochen eingeführt.
Der Fehler:
Der XSS Auditor blockierte den Zugriff auf " https://www.freecodecamp.com/challenges/add-a-submit-button-to-a-form# ? Solution = solution-here", da der Quellcode eines Skripts darin gefunden wurde die Anfrage. Der Auditor wurde aktiviert, da der Server keinen "X-XSS-Protection" -Header gesendet hat.
Dies erwähnt, dass der Fehler, den wir sehen, tatsächlich durch die in Chrome 57 aktivierte Funktionalität verursacht wird.
Die Warnung scheint durch ein Formular im Iframe ausgelöst zu werden.
Hier ist ein StackOverflow-Beitrag mit einem Vorschlag zur Lösung dieses Problems.
Ich habe getestet, wie Codepen damit umgeht. Dort funktioniert es gut. Einige bemerkenswerte Unterschiede:
- X-Frame-Optionen sind
ALLOWALLbei Codepen,SAMEORIGINbei fCC. Ich denke, dass dies wahrscheinlich nicht die Ursache ist, aber es kann damit zusammenhängen. - X-XSS-Schutz ist
1; mode=blockauf fCC, aber nicht auf Codepen vorhanden. Ich denke, das ist der Grund, warum es auf Codepen funktioniert, aber nicht auf fCC.
/ cc @ freeCodeCamp / moderators Dies scheint ein sehr ernstes Problem für uns zu werden, aber ich bin mir nicht sicher. Kann jemand helfen, Nachforschungen anzustellen?
systimotic
am 12. März 2017
@systimotic danke, dass Sie alle darauf aufmerksam gemacht haben. Ja - das ist ein ernstes Problem. Wenn Google dieses Update herausbringt, werden unsere Herausforderungen vollständig gelöst. Also müssen wir dieses Problem so schnell wie möglich beheben.
Konnten Sie hier Fortschritte erzielen?
@BerkeleyTrue ist dies etwas, das Sie schnell beheben und für die Produktion bereitstellen können, oder haben Sie jemanden im Sinn, der dies delegiert?
QuincyLarson
am 13. März 2017
Am Montag, den 13. März 2017 um 18:44 Uhr, Quincy Larson [email protected]
schrieb:
@systimotic https://github.com/systimotic Vielen Dank, dass Sie dies gebracht haben
jedermanns Aufmerksamkeit. Ja - das ist ein ernstes Problem. Wenn Google ausrollt
Dieses Update wird unsere Herausforderungen vollständig brechen. Also müssen wir reparieren
diese so schnell wie möglich.Konnten Sie hier Fortschritte erzielen?
@BerkeleyTrue https://github.com/BerkeleyTrue ist dies etwas, was Sie
könnte das Problem schnell beheben und in der Produktion bereitstellen, oder haben Sie jemanden in
Lust, dies zu delegieren?- -
Sie erhalten dies, weil Sie diesen Thread abonniert haben.
Antworte direkt auf diese E-Mail und sieh sie dir auf GitHub an
https://github.com/freeCodeCamp/freeCodeCamp/issues/13727#issuecomment-286147082 ,
oder schalten Sie den Thread stumm
https://github.com/notifications/unsubscribe-auth/AX9USGhYYpx9VbE14GEjc5ELIWUePYCaks5rlWRggaJpZM4MS57P
.
iansibindi
am 13. März 2017
Ich habe eine Idee, ich werde eine PR gegen Backup / Master erheben, wenn meine Theorie funktioniert.
Wenn es funktioniert, kann ich es auch für die Inszenierung implementieren
Bouncey
am 13. März 2017
Aber bitte, wenn jemand anderes eine Idee hat, arbeiten Sie daran
Dies scheint ein kritisches Thema zu sein
Bouncey
am 13. März 2017
@QuincyLarson @systimotic @Bouncey Wenn man es sich ansieht (laut X-XSS-Protection: 1 in X-XSS-Protection: 1; mode=block . Dadurch wird die Ausführung einer Seite vollständig blockiert, wenn sich der Quellcode für die Seite in der Anforderung selbst befindet (dh Code-URL).
Zuvor bestand das Standardverhalten von chres darin, die Teile des Skripts herauszufiltern, die als schädlich eingestuft wurden. Wir haben dies umgangen, indem wir die spezifischen Teile codiert haben, über die sich Chrome beschweren würde (Formularaktionen usw.), und sie dann decodiert haben, bevor sie in den Iframe eingefügt wurden.
Jetzt blockiert das Standardverhalten die Seite vollständig. Dies ist der Grund für das Problem (glaube ich).
Ich habe Chrome Canary heruntergeladen und ~ konnte das Problem nicht replizieren (es ist in Version 59) ~ Ich konnte es replizieren, indem ich dem Code-Uri ein Skript-Tag hinzufügte.
BerkeleyTrue
am 13. März 2017
Ein Fix kann so einfach sein wie das Ändern von X-XSS-PROTECTION in 1 ;
BerkeleyTrue
am 13. März 2017
Ich kann nicht in der Beta replizieren, aber ich kann in der Produktion
Chrome 57 ist jetzt der "Chrome Stable" für Ubuntu
Bouncey
am 13. März 2017
Ich kann nicht lokal auf Backup / Master reproduzieren
Bouncey
am 13. März 2017
Wenn Sie versuchen, über die Serversteuerung HTML- und JavaScript-Code auf den Server zurückzusenden, wird das Problem angezeigt.
1cm
am 16. März 2017
ist mir auf Chrome Version 57.0.2987.110 (64-Bit) Win10 64bit passiert
driftshift
am 20. März 2017
Hallo alle,
Bitte helfen Sie mir, dies besser zu verstehen.
Ich bin Business Analyst in einem Softwareunternehmen. Es tritt das Problem auf, dass nach dem Chrome-Update 57.0.2987.98 die Fehlermeldung "Diese Seite funktioniert nicht" angezeigt wird. Chrome hat auf dieser Seite ungewöhnlichen Code erkannt und blockiert, um Ihre persönlichen Daten (z. B. Passwörter, Telefonnummern und Kreditkarten) zu schützen. . ERR_BLOCKED_BY_XSS_AUDITOR "- im Grunde das, was Sie hier diskutieren.
Meine Fragen wären:
- Ist es ein Fehler oder eine Funktion?
- Wenn es sich um einen Fehler handelt - woher kann ich die Informationen beziehen, wenn sie behoben werden?
Wir haben eine Reihe von Kunden, die unter diesem Fehler leiden, und wir müssen verstehen, ob wir auf den Chrome-Fix warten oder den Fix auf unserer Seite implementieren sollen.
dimapct
am 21. März 2017
@dimapct Dies ist das Repository für FreeCodeCamp.com, nicht für Chrome. Bitte richten Sie Ihre Fragen zu Ihrer Unternehmenssoftware und zu Chrome an das Chrome-Team, nicht an uns.
BerkeleyTrue
am 21. März 2017
@ QuincyLarson
Chrome-Einstellungen> Erweiterte Einstellungen> Vor gefährlichen Websites schützen> Aus
hat eine Weile für mich gearbeitet
udbhavs
am 22. März 2017
Ich bin gerade auf diesen Fehlerbericht gestoßen. Ich frage mich, ob meine Erfahrung etwas Licht ins Dunkel bringen könnte.
Wenn ich einen Beitrag in Ubuntu-Foren schreibe - was eine absolut vertrauenswürdige Website ist -, gibt mir Chrome häufig, aber nicht immer, diesen Fehler, wenn ich auf "Beitragsvorschau" drücke.
Ich habe versucht, ein Muster zu finden, aber es scheint völlig willkürlich; Ich kann einige Formulierungen eingeben, die Chrome akzeptiert, und andere Formulierungen, die Chrome nicht akzeptiert, und ich sehe keinen signifikanten Unterschied zwischen ihnen. Beispielsweise blockiert Chrome manchmal einen Beitrag mit Anführungszeichen und manchmal nicht.
Ich verwende Chrome 57 Stable (aus den offiziellen Chrome-Repositories) unter Linux Ubuntu.
(Ich werde den Vorschlag von @QuincyLarson vorerst übernehmen, obwohl es etwas nervös ist, ihn auszuschalten!)
paddylandau
am 27. März 2017
Leider hat die vorgeschlagene Lösung von @QuincyLarson bei mir nicht funktioniert.
Es gibt jedoch weitere Informationen, von denen ich hoffe, dass sie hilfreich sind:
https://bugs.chromium.org/p/chromium/issues/detail?id=702542
https://bugs.chromium.org/p/chromium/issues/detail?id=706038
https://productforums.google.com/forum/#!msg/chrome/4MUJd75N4Jw/8uDOUMgrEQAJ
paddylandau
am 4. Apr. 2017
@paddylandau Danke.
Es scheint, dass das Problem durch explizites Hinzufügen von x-xss-Schutz-Headern zu unserem csp gelöst wird. Hat jemand etwas Zeit, um dies zu testen?
BerkeleyTrue
am 4. Apr. 2017
Das Problem beim Hinzufügen dieses Headers besteht darin, dass die Sicherheit im Interesse von Chrome verringert wird. Das kommt mir komisch vor.
paddylandau
am 5. Apr. 2017
Wenn Sie den Header auf 1 setzen, behalten Sie die Sicherheit bei und verhindern, dass Chrome v57 die Sicherheit erhöht. Der einzige wirkliche Unterschied besteht darin, dass v57 einen Code, den v56- und andere Browser bisher stillschweigend blockiert haben, geräuschvoll blockiert.
darkporpoise
am 5. Apr. 2017
Ich habe immer noch dieses Problem :(
nvnellore
am 7. Apr. 2017
Dieses Problem tritt immer noch bei "Formularelement erstellen" auf.
Rogerup
am 10. Apr. 2017
Das Interessante an diesem Problem ist, wenn Sie die Lektion in einem anderen Browser abschließen und zu Chrome zurückkehren und die Lösung dieser Lektion "anzeigen". Der Code wird fehlerfrei gelesen und Sie können mit der nächsten Lektion fortfahren. Irgendwelche Gedanken?
UnwrittenCanvas
am 11. Apr. 2017
Am 10. April 2017, 10:21 Uhr, "Rogerio Penchel" [email protected]
schrieb:
Ich habe immer noch dieses Problem :(
- -
Sie erhalten dies, weil Sie diesen Thread abonniert haben.
Antworte direkt auf diese E-Mail und sieh sie dir auf GitHub an
https://github.com/freeCodeCamp/freeCodeCamp/issues/13727#issuecomment-293018041 ,
oder schalten Sie den Thread stumm
https://github.com/notifications/unsubscribe-auth/AV-9X3RBc4-MBzYNChdMp0_uZrywTADUks5rumUPgaJpZM4MS57P
.
Lurches
am 11. Apr. 2017
Ich lief dies in Firefox und hatte keine Probleme
nvnellore
am 11. Apr. 2017
@nvnellore Dies gilt nur für Chrom und im weiteren
paddylandau
am 11. Apr. 2017
Ich habe diesen ERR_BLOCKED_BY_XSS_AUDITOR gesehen, wenn ich Inhalte mit einem hinzufüge
mcgargle
am 12. Apr. 2017
Entschuldigung - sollte klarstellen ... versuchen, nur den Inhalt unseres Warenkorbs zu aktualisieren.
Sobald dies enthalten ist
Wir erhalten dann den Fehler ERR_BLOCKED_BY_XSS_AUDITOR.
mcgargle
am 12. Apr. 2017
Ich habe das gerade erlebt.
Die Lösung von @udbhavs hat einwandfrei funktioniert.
Chrome 57
Windows 10 - 64 Bit
ssisaias
am 15. Apr. 2017
Chrome Version 57.0.2987.133 (64-Bit)
Windows 8.1 Pro 64 Bit
freakshowtm
am 19. Apr. 2017
@ssisaias - Die @udbhavs funktioniert möglicherweise, aber das liegt daran, dass die Sicherheit absichtlich
paddylandau
am 19. Apr. 2017
Das Problem scheint durch ein Upgrade auf Version 58 (Version 58.0.3029.81 Beta (64 Bit, auf meinem Computer)) behoben zu sein. Ich hatte den gleichen Fehler und musste auf die 3 Punkte eingehen -> ungefähr. Unter der Version befand sich eine Schaltfläche Ich musste drücken, um das Update von Version 57 auf Version 58 abzuschließen. Beim Neustart von Chrome wurde das Problem behoben.
willdanneriv
am 19. Apr. 2017
@willdanneriv Du hast vielleicht Glück, weil Version 58 es für mich nicht gelöst hat. Nach dem heutigen Update bekomme ich immer noch den Fehler.
paddylandau
am 20. Apr. 2017
@paddylandau Vielleicht. Bist du in der Beta oder im Stall?
willdanneriv
am 20. Apr. 2017
@willdanneriv Stabil. Die, die heute auf meiner Maschine veröffentlicht wurde.
Version 58.0.3029.81 (64-Bit)
Das selbe wie deins.
paddylandau
am 20. Apr. 2017
@paddylandau Hast du den Prozess verfolgt, den ich unter about und relaunch gemacht habe?
Tut mir leid, dass es bei Ihnen nicht funktioniert.
willdanneriv
am 20. Apr. 2017
@willdanneriv - Ich verwende Linux, nicht Windows, daher werden Updates automatisch direkt aus dem offiziellen Google-Repository installiert. Ich habe Chrome erst gestartet, nachdem die Updates abgeschlossen waren. Die Versionsnummer, die ich veröffentlicht habe, war ein Ausschneiden und Einfügen aus Chrome "Über Google Chrome".
Als Experiment bin ich auf einen Windows 10-Computer gesprungen und habe es dort versucht, und ich bekomme das gleiche Problem (Chrome natürlich vollständig aktualisiert).
Vielleicht hat das Forum, in dem Sie dies heute zufällig versucht haben, die von @BerkeleyTrue oben beschriebene Lösung hinzugefügt?
paddylandau
am 20. Apr. 2017
Dieses Problem tritt auch auf meinem Mac unter OS Sierra mit Chrome 58.0.3029.81 auf. Ich bin etwas verwirrt, wo ich posten soll, aber hoffentlich funktioniert das!
savemeaspark
am 22. Apr. 2017
Bin auch mit dem gleichen Problem in Mac OS konfrontiert.
MuruganPushparaj
am 24. Apr. 2017
Ich hatte jetzt das gleiche Problem bei Chrome und ging dann zu Firefox, um fortzufahren, da Chrome mich daran hinderte, Fortschritte zu machen. Ich rate, wenn Sie einen anderen Browser haben, tun Sie das gleiche. Ich denke jedoch immer noch, dass wir sicher sein müssen, dass unsere privaten Informationen hier sicher sind
tobi10
am 24. Apr. 2017
Erlebt dies noch jemand in Chrome oder Firefox? Ich habe gerade auf Chrome 58 aktualisiert und kann das Problem dort und in der neuesten Firefox nicht reproduzieren.
QuincyLarson
am 25. Apr. 2017
Wenn Sie auf ein Problem stoßen, melden Sie sich bei einem anderen Browser an und versuchen Sie es auch. Ich habe mich dem Problem in Chrom gestellt und es dann in Safari versucht, was ich gerade getan habe.
MuruganPushparaj
am 25. Apr. 2017
Erlebt dies noch jemand in Chrome oder Firefox?
Ja, ich kann mit Chrome 58 auf der Hauptwebsite reproduzieren, aber dieselbe Herausforderung funktioniert auch auf der Beta-Website.
Vielleicht führt dies zu einem anderen Fortschritt als dem, den Berkeley bereits identifiziert hat.
raisedadead
am 25. Apr. 2017
Ich habe jedoch ein Problem festgestellt. Ich verließ Chrome und fuhr mit Firefox fort, als ich
Ich habe die Fehlermeldung gesehen, also habe ich noch ein paar Übungen mit Firefox gemacht
Die Karte dieser bestimmten Übung wurde nicht als erledigt angekreuzt. Es ist gerade erschienen
als ob es übersprungen wurde.
Also bin ich jetzt zurück zu Chrome gegangen, um dies zu tun, und der Fehler wurde behoben. Wie auch immer, ich
Ich konnte nicht dort weitermachen, wo ich in Firefox angehalten habe. Ich habe die Registerkarte aktualisiert und
Ich habe auch die Registerkarte geschlossen und wieder geöffnet, aber mir wurde die nächste Übung gezeigt
nicht die Übung, an der ich gerade an Firefox arbeite.
Ich habe mich dann von meinem Konto bei Chrome abgemeldet und mich erneut angemeldet und konnte
um die Übung auszuwählen, die ich machen möchte. Ich denke, der Prozess kann durchgeführt werden
Besser, wenn ich meinen Tab aktualisiere, komme ich zu der Übung, die ich abgebrochen habe
beim. Vielen Dank für Ihre Hilfe Jungs.
Am Dienstag, 25. April 2017, um 7:34 Uhr, mrugesh mohapatra < notifications@github.com
schrieb:
Erlebt dies noch jemand in Chrome oder Firefox?
Ja, ich kann mit Chrome 58 auf der Hauptwebsite reproduzieren, aber die gleiche Herausforderung
funktioniert OK in der Beta-Website.Vielleicht führt das zu anderen Fortschritten als Berkeley
identifiziert.- -
Sie erhalten dies, weil Sie kommentiert haben.
Antworte direkt auf diese E-Mail und sieh sie dir auf GitHub an
https://github.com/freeCodeCamp/freeCodeCamp/issues/13727#issuecomment-296928274 ,
oder schalten Sie den Thread stumm
https://github.com/notifications/unsubscribe-auth/AZgA8UshOMmM5_yVN3POvedvIIVyoCL9ks5rzZPkgaJpZM4MS57P
.
- -
Tobiloba Ogunlobiyi
+234 816 699 8393
www.linkedin.com/in/tobilobaogunlobiyi
tobi10
am 25. Apr. 2017
@QuincyLarson - Ja, ich habe dieses Problem immer noch in Chrome 58.
@ tobi10 - Eine einfache Aktualisierung lädt die Seite einfach neu, Ctrl + Shift + R . Dies erspart Ihnen das mühsame Abmelden und erneute Anmelden.
paddylandau
am 25. Apr. 2017
@paddylandau - Ich habe wieder das gleiche Problem, ich blieb bei der ersten jQuery-Übung stecken und ging zu Firefox, um die Übung zu machen, und machte auch 4 weitere Übungen. Ich bin dann zu Chrome zurückgekehrt, um fortzufahren. Ich habe mit Strg + Umschalt + R aktualisiert, wie Sie vorgeschlagen haben, und ich habe mich abgemeldet und wieder angemeldet, aber es zeigt, dass ich bei dieser ersten Übung festgefahren bin. Anbei ein Screenshot der Seite
tobi10
am 27. Apr. 2017
@ tobi10 - Ich denke, dass Sie mit Firefox fortfahren müssen. Ich weiß, ein Ärgernis. Hoffen wir also, dass Google diesen Fehler bald behebt.
paddylandau
am 27. Apr. 2017
Danke @paddylandau
tobi10
am 28. Apr. 2017
Bitte beziehen Sie sich auf diesen Kommentar .
Ich bin der festen Überzeugung, dass der obige Kommentar richtig analysiert, was hier vor sich geht.
Dies ist höchstwahrscheinlich in staging behoben, da die automatische Codeausführung auf der Seite gestoppt wurde.
raisedadead
am 28. Apr. 2017
@willdanneriv - Danke, dein Rat hat bei mir funktioniert.
astoroid
am 3. Mai 2017
Ich habe das gleiche Problem bei dieser Herausforderung, aber ich werde es gleich auf Kanarien versuchen. Dies ist die Entwicklerversion von Google Chrome. Wenn es funktioniert, werde ich hier eine weitere Nachricht posten, und vielleicht müssen wir alle einfach umschalten.
Ich habe alles auf Kanarischen Inseln ausprobiert und konnte problemlos ohne Fehler oder Probleme fertig werden. Ich bin Windows 7 und habe die aktuelle Version von Google Chrome. Es handelt sich also nicht nur um eine Windows 10-Version oder eine alte Version von Chrome.
Ihr könnt Canary hier bekommen, wenn ihr es stattdessen versuchen wollt. https://www.google.com/chrome/browser/canary.html
SenaminBun
am 3. Mai 2017
Ich habe dies auch auf Vivaldi 1.8.770.56 (Stable Channel) (64-Bit) unter Arch Linux - es basiert ebenfalls auf Chromium. Gleicher Ort wie @ tobi10
opalepatrick
am 3. Mai 2017
Ich hatte dieses Problem in Chrome, aber gemäß dem obigen Vorschlag von
frankmullen
am 4. Mai 2017
Ausgabe erneut
SellersC
am 4. Mai 2017
Hallo, das ist ein bekanntes Problem. Und wir versuchen herauszufinden, wie dies behoben werden kann.
Bitte kommentieren Sie diesen Thread NICHT, um das Problem zu bestätigen (da er nicht mehr benötigt wird).
Bitte benutze stattdessen das (👍) am Eröffnungsbeitrag in diesem Thread.
Wir möchten diesen Thread nur für mögliche Lösungen behalten.
raisedadead
am 5. Mai 2017
Beheben des Problems in Chrome Version 58.0.3029.96 (64-Bit).
Das Problem in Firefox Version 53.0.2 (32-Bit) wird nicht angezeigt.
Jason-Prince
am 9. Mai 2017
Versuchen Sie, kein JavaScript zu verwenden.
Es stellte sich heraus, dass das Ersetzen von JavaScript: void (0) durch # mein Problem behoben hat.
priyasjoshi
am 9. Mai 2017
Vielen Dank.
Am Montag, den 8. Mai 2017 um 19:09 Uhr, priyasjoshi notifications@github.com
schrieb:
Versuchen Sie, kein JavaScript zu verwenden.
Ich hatte die gleichen Probleme wie beim Ersetzen von JavaScript: void (0) durch #
mein Problem gelöst.- -
Sie erhalten dies, weil Sie kommentiert haben.
Antworte direkt auf diese E-Mail und sieh sie dir auf GitHub an
https://github.com/freeCodeCamp/freeCodeCamp/issues/13727#issuecomment-300032774 ,
oder schalten Sie den Thread stumm
https://github.com/notifications/unsubscribe-auth/AT1eCNOnLJ8N0nN5JHiBNCx-e4cFc42Cks5r37zDgaJpZM4MS57P
.
Jason-Prince
am 9. Mai 2017
Die aktuelle Problemumgehung besteht darin, Firefox anstelle von Chrome zu verwenden.
Bitte nehmen Sie Kontakt mit uns auf, während wir versuchen, dies zu beheben.
raisedadead
am 17. Mai 2017
aus dem heutigen Kernteamgespräch:
Daher glaube ich, dass wir möglicherweise die Logik aus der Beta replizieren müssen. Entfernen Sie die Lösung hauptsächlich aus dem URL beim Lesen, deaktivieren Sie die automatische Ausführung und fügen Sie die Codesperre hinzu
BerkeleyTrue
am 23. Mai 2017
Einige Codes, die in der Produktion verwendet werden, um den Code uri zu entfernen und zu sperren (Lösung in uri)
https://github.com/freeCodeCamp/freeCodeCamp/blob/staging/client/sagas/code-storage-saga.js#L98
Die dazu verwendeten Utensilien:
Holen Sie sich den Code von der Uri:
https://github.com/freeCodeCamp/freeCodeCamp/blob/staging/client/utils/code-uri.js#L52
Code entfernen uri:
https://github.com/freeCodeCamp/freeCodeCamp/blob/staging/client/utils/code-uri.js#L66
Hier in dem Epos, das das Erstellen der Dateien behandelt, bevor sie zum Iframe gehen, überprüfen wir, ob der Code automatisch ausgeführt wird
https://github.com/freeCodeCamp/freeCodeCamp/blob/staging/client/sagas/build-challenge-epic.js#L24
Hier sperren wir die Ausführungsschaltfläche in der klassischen Ansicht und zeigen eine Entsperrschaltfläche an
Hinweis: Ich habe einen großen Refactor in Arbeit, der alle diese Links unterbricht. Ich werde sie in einem separaten Kommentar aktualisieren, wenn diese PR zusammengeführt wird
BerkeleyTrue
am 23. Mai 2017
Vielen Dank an @BerkeleyTrue , ich werde heute Abend eine
raisedadead
am 24. Mai 2017
@raisedadead super - danke für deine Hilfe. Bitte halten Sie uns auf dem Laufenden und teilen Sie uns mit, ob Sie ein Backup benötigen.
QuincyLarson
am 25. Mai 2017
Letzten Dienstag haben @raisedadead und ich
Dieses Problem ist in der Beta-Version von freeCodeCamp in keinem Browser und mit keinem Code reproduzierbar.
Unter Verwendung des im ersten Bericht freigegebenen Codes ist dieses Problem in Chrome 57 und Chrome 58 (aktuell) reproduzierbar, in Chrome 59 (Chrome Beta) oder Chrome 60 (Chrome Canary) jedoch nicht.
In dieser Zeile aktivieren wir das Helm xxsFilter Plugin. Es setzt den X-XXS-Protection Header auf 1; mode=block . Es ist seit zwei Jahren dort.
Schauen wir uns den Fehler noch einmal an:
Der XSS Auditor blockierte den Zugriff auf " https://www.freecodecamp.com/challenges/add-a-submit-button-to-a-form# ? Solution = solution-here", da der Quellcode eines Skripts darin gefunden wurde die Anfrage. Der Auditor wurde aktiviert, da der Server keinen "X-XSS-Protection" -Header gesendet hat.
Das verwirrt mich. Wir haben diesen Header immer gesendet, er ist definitiv in der Antwort enthalten, aber er sagt immer noch, dass er nicht vorhanden ist. Meine beste Vermutung, warum dies geschieht: Der Header wird für die Seite /add-a-submit-button-to-a-form gesendet. Das Problem tritt bei /add-a-submit-button-to-a-form#?solution=solution-here , was irgendwie anders aussieht. Ich glaube, dass dies ein Fehler in Chrome sein kann.
In Chrome 57 wurde kein vorhandener Header standardmäßig auf 1; mode=block geändert, und 1 auch als 1; mode=block [Quelle] behandelt . Aus diesem Grund haben wir dieses Problem ab dieser Version bemerkt. Ich habe noch nicht herausgefunden, dass die Ursache für dieses Problem in Chrome 59 nicht mehr vorhanden ist. Ich bin nicht sicher, ob sie nur unser spezifisches Problem behoben haben oder ob sie ihre Änderung von Version 57 zurückgesetzt haben.
Hier ist eine kurze Zusammenfassung dessen, was der XSS-Auditor tut (oder zumindest wie ich es verstehe): Es werden die URL und der Seitenquellcode angezeigt. Wenn in der URL, die auch im HTML-Code gefunden wird, ein Skript (oder etwas anderes, das bösartig erscheint) gefunden wird, wird die Seite blockiert. [Quelle 1] [Quelle 2] [Quelle 3]
Die richtige und einfachste Lösung sollte darin bestehen, den Header X-XXS-Protection auf 0 . Wir haben dies jedoch versucht, da dieser Header nicht erfasst wird (ich verstehe nicht warum), funktioniert dies nicht. Die alternative Lösung, die jetzt vorgeschlagen wurde, besteht darin, den Code aus der URL zu entfernen, damit die URL die Seite nicht mehr beeinflusst und der XSS-Auditor nicht ausflippt. Ich denke, es wird schwierig sein, diese Arbeit in der Produktionsversion zu machen, aber ich glaube, es sollte das Problem lösen. Ich glaube, daran arbeitet @raisedadead .
systimotic
am 26. Mai 2017
Vielen Dank für den Einblick und die hervorragende Zusammenfassung dessen, was wir neulich getestet haben. Ja, es ist ein bisschen schwierig auf der Produktionsseite, ich werde so schnell wie möglich aktualisieren.
raisedadead
am 26. Mai 2017
Durch Hinzufügen dieses "--disable-xss-auditor" zum Zielfeld der Chrome-Verknüpfung funktionierte es für mich.
Barryzachoppa
am 28. Mai 2017
Bei Chrome oder Firefox (54.0b12) hat es bei mir nicht funktioniert. Musste auf IE zurückgreifen.
accidentalpurpose
am 2. Juni 2017
Dies wurde sowohl in der Beta als auch auf der Hauptwebsite behoben.
Viel Spaß beim Codieren!
raisedadead
am 10. Juni 2017
Verwandte Themen
DaphnisM
·
3Kommentare
vaibsharma
·
3Kommentare
SaintPeter
·
3Kommentare
kokushozero
·
3Kommentare
imhuyqn
·
3Kommentare
Hilfreichster Kommentar
Ich kann dies mit Chrome 57 sowohl auf der Beta- als auch auf der Live-Site reproduzieren.
Die Version, in der dies reproduziert werden kann, ist 57.0.2987.88. Aus dem Chrome-Blog am 9. März:
Der Fehler:
Dies erwähnt, dass der Fehler, den wir sehen, tatsächlich durch die in Chrome 57 aktivierte Funktionalität verursacht wird.
Die Warnung scheint durch ein Formular im Iframe ausgelöst zu werden.
Hier ist ein StackOverflow-Beitrag mit einem Vorschlag zur Lösung dieses Problems.
Ich habe getestet, wie Codepen damit umgeht. Dort funktioniert es gut. Einige bemerkenswerte Unterschiede:
ALLOWALLbei Codepen,SAMEORIGINbei fCC. Ich denke, dass dies wahrscheinlich nicht die Ursache ist, aber es kann damit zusammenhängen.1; mode=blockauf fCC, aber nicht auf Codepen vorhanden. Ich denke, das ist der Grund, warum es auf Codepen funktioniert, aber nicht auf fCC./ cc @ freeCodeCamp / moderators Dies scheint ein sehr ernstes Problem für uns zu werden, aber ich bin mir nicht sicher. Kann jemand helfen, Nachforschungen anzustellen?