Aktualisieren
Herausforderung Das Hinzufügen einer Senden-Schaltfläche zu einem Formular hat ein Problem.
User Agent ist: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) <strong i="11">Chrome/57.0.2987.88</strong> Safari/537.36
.
_Beschreibung bearbeitet von @systimotic zur Verdeutlichung_
Im Telefonrahmen wird eine Warnung angezeigt. Darin heißt es: "Chrome hat auf dieser Seite ungewöhnlichen Code erkannt und blockiert, um Ihre persönlichen Daten (z. B. Passwörter, Telefonnummern und Kreditkarten) zu schützen."
Code:
<link href="https://fonts.googleapis.com/css?family=Lobster" rel="stylesheet" type="text/css">
<style>
.red-text {
color: red;
}
h2 {
font-family: Lobster, Monospace;
}
p {
font-size: 16px;
font-family: Monospace;
}
.thick-green-border {
border-color: green;
border-width: 10px;
border-style: solid;
border-radius: 50%;
}
.smaller-image {
width: 100px;
}
</style>
<h2 class="red-text">CatPhotoApp</h2>
<p>Click here for <a href="#">cat photos</a>.</p>
<a href="#"><img class="smaller-image thick-green-border" alt="A cute orange cat lying on its back. " src="https://bit.ly/fcc-relaxing-cat"></a>
<p>Things cats love:</p>
<ul>
<li>cat nip</li>
<li>laser pointers</li>
<li>lasagna</li>
</ul>
<p>Top 3 things cats hate:</p>
<ol>
<li>flea treatment</li>
<li>thunder</li>
<li>other cats</li>
</ol>
<form action="/submit">
</form>
<form action="/submit-cat-photo">
<input type="text" placeholder="cat photo URL">
</form>
@ leekirby6 danke für das Problem. Können Sie weitere Informationen darüber geben, wo Sie diese Benachrichtigung gesehen haben? Ein Screenshot kann ebenfalls hilfreich sein, wenn Sie einen bereitstellen können. Ich erhalte keine Benachrichtigung von Chrome, wenn ich die Seite öffne. Vielen Dank!
Oh, ich habe den Screenshot vergessen.
Nichts passiert, wenn ich Firefox benutze.
Es könnte mit Chrome Beta zusammenhängen. Siehe # 12655. Es funktioniert gut für mich mit stabilem Chrome. @ leekirby6 Kannst du es mit stabilem Chrome versuchen?
Vielen Dank für Ihr Vertrauen. Ich bevorzuge Beta-Version als stabil:
Ich habe Firefox benutzt!
Ist dieser Fehler ein Hinweis darauf, dass Camper dies in einer zukünftigen Version von Chrome sehen werden? Wenn dies der Fall ist, sollten wir wahrscheinlich sicherstellen, dass dies vor der Veröffentlichung behoben ist.
Ich kann dies mit Chrome 57 sowohl auf der Beta- als auch auf der Live-Site reproduzieren.
Die Version, in der dies reproduziert werden kann, ist 57.0.2987.88. Aus dem Chrome-Blog am 9. März:
Das Chrome-Team freut sich, die Förderung von Chrome 57 für den stabilen Kanal 57.0.2987.98 für Windows, Mac und Linux bekannt zu geben. Dies wird in den kommenden Tagen / Wochen eingeführt.
Der Fehler:
Der XSS Auditor blockierte den Zugriff auf " https://www.freecodecamp.com/challenges/add-a-submit-button-to-a-form# ? Solution = solution-here", da der Quellcode eines Skripts darin gefunden wurde die Anfrage. Der Auditor wurde aktiviert, da der Server keinen "X-XSS-Protection" -Header gesendet hat.
Dies erwähnt, dass der Fehler, den wir sehen, tatsächlich durch die in Chrome 57 aktivierte Funktionalität verursacht wird.
Die Warnung scheint durch ein Formular im Iframe ausgelöst zu werden.
Hier ist ein StackOverflow-Beitrag mit einem Vorschlag zur Lösung dieses Problems.
Ich habe getestet, wie Codepen damit umgeht. Dort funktioniert es gut. Einige bemerkenswerte Unterschiede:
ALLOWALL
bei Codepen, SAMEORIGIN
bei fCC. Ich denke, dass dies wahrscheinlich nicht die Ursache ist, aber es kann damit zusammenhängen.1; mode=block
auf fCC, aber nicht auf Codepen vorhanden. Ich denke, das ist der Grund, warum es auf Codepen funktioniert, aber nicht auf fCC./ cc @ freeCodeCamp / moderators Dies scheint ein sehr ernstes Problem für uns zu werden, aber ich bin mir nicht sicher. Kann jemand helfen, Nachforschungen anzustellen?
@systimotic danke, dass Sie alle darauf aufmerksam gemacht haben. Ja - das ist ein ernstes Problem. Wenn Google dieses Update herausbringt, werden unsere Herausforderungen vollständig gelöst. Also müssen wir dieses Problem so schnell wie möglich beheben.
Konnten Sie hier Fortschritte erzielen?
@BerkeleyTrue ist dies etwas, das Sie schnell beheben und für die Produktion bereitstellen können, oder haben Sie jemanden im Sinn, der dies delegiert?
Am Montag, den 13. März 2017 um 18:44 Uhr, Quincy Larson [email protected]
schrieb:
@systimotic https://github.com/systimotic Vielen Dank, dass Sie dies gebracht haben
jedermanns Aufmerksamkeit. Ja - das ist ein ernstes Problem. Wenn Google ausrollt
Dieses Update wird unsere Herausforderungen vollständig brechen. Also müssen wir reparieren
diese so schnell wie möglich.Konnten Sie hier Fortschritte erzielen?
@BerkeleyTrue https://github.com/BerkeleyTrue ist dies etwas, was Sie
könnte das Problem schnell beheben und in der Produktion bereitstellen, oder haben Sie jemanden in
Lust, dies zu delegieren?- -
Sie erhalten dies, weil Sie diesen Thread abonniert haben.
Antworte direkt auf diese E-Mail und sieh sie dir auf GitHub an
https://github.com/freeCodeCamp/freeCodeCamp/issues/13727#issuecomment-286147082 ,
oder schalten Sie den Thread stumm
https://github.com/notifications/unsubscribe-auth/AX9USGhYYpx9VbE14GEjc5ELIWUePYCaks5rlWRggaJpZM4MS57P
.
Ich habe eine Idee, ich werde eine PR gegen Backup / Master erheben, wenn meine Theorie funktioniert.
Wenn es funktioniert, kann ich es auch für die Inszenierung implementieren
Aber bitte, wenn jemand anderes eine Idee hat, arbeiten Sie daran
Dies scheint ein kritisches Thema zu sein
@QuincyLarson @systimotic @Bouncey Wenn man es sich ansieht (laut X-XSS-Protection: 1
in X-XSS-Protection: 1; mode=block
. Dadurch wird die Ausführung einer Seite vollständig blockiert, wenn sich der Quellcode für die Seite in der Anforderung selbst befindet (dh Code-URL).
Zuvor bestand das Standardverhalten von chres darin, die Teile des Skripts herauszufiltern, die als schädlich eingestuft wurden. Wir haben dies umgangen, indem wir die spezifischen Teile codiert haben, über die sich Chrome beschweren würde (Formularaktionen usw.), und sie dann decodiert haben, bevor sie in den Iframe eingefügt wurden.
Jetzt blockiert das Standardverhalten die Seite vollständig. Dies ist der Grund für das Problem (glaube ich).
Ich habe Chrome Canary heruntergeladen und ~ konnte das Problem nicht replizieren (es ist in Version 59) ~ Ich konnte es replizieren, indem ich dem Code-Uri ein Skript-Tag hinzufügte.
Ein Fix kann so einfach sein wie das Ändern von X-XSS-PROTECTION
in 1
;
Ich kann nicht in der Beta replizieren, aber ich kann in der Produktion
Chrome 57 ist jetzt der "Chrome Stable" für Ubuntu
Ich kann nicht lokal auf Backup / Master reproduzieren
Wenn Sie versuchen, über die Serversteuerung HTML- und JavaScript-Code auf den Server zurückzusenden, wird das Problem angezeigt.
ist mir auf Chrome Version 57.0.2987.110 (64-Bit) Win10 64bit passiert
Hallo alle,
Bitte helfen Sie mir, dies besser zu verstehen.
Ich bin Business Analyst in einem Softwareunternehmen. Es tritt das Problem auf, dass nach dem Chrome-Update 57.0.2987.98 die Fehlermeldung "Diese Seite funktioniert nicht" angezeigt wird. Chrome hat auf dieser Seite ungewöhnlichen Code erkannt und blockiert, um Ihre persönlichen Daten (z. B. Passwörter, Telefonnummern und Kreditkarten) zu schützen. . ERR_BLOCKED_BY_XSS_AUDITOR "- im Grunde das, was Sie hier diskutieren.
Meine Fragen wären:
Wir haben eine Reihe von Kunden, die unter diesem Fehler leiden, und wir müssen verstehen, ob wir auf den Chrome-Fix warten oder den Fix auf unserer Seite implementieren sollen.
@dimapct Dies ist das Repository für FreeCodeCamp.com, nicht für Chrome. Bitte richten Sie Ihre Fragen zu Ihrer Unternehmenssoftware und zu Chrome an das Chrome-Team, nicht an uns.
@ QuincyLarson
Chrome-Einstellungen> Erweiterte Einstellungen> Vor gefährlichen Websites schützen> Aus
hat eine Weile für mich gearbeitet
Ich bin gerade auf diesen Fehlerbericht gestoßen. Ich frage mich, ob meine Erfahrung etwas Licht ins Dunkel bringen könnte.
Wenn ich einen Beitrag in Ubuntu-Foren schreibe - was eine absolut vertrauenswürdige Website ist -, gibt mir Chrome häufig, aber nicht immer, diesen Fehler, wenn ich auf "Beitragsvorschau" drücke.
Ich habe versucht, ein Muster zu finden, aber es scheint völlig willkürlich; Ich kann einige Formulierungen eingeben, die Chrome akzeptiert, und andere Formulierungen, die Chrome nicht akzeptiert, und ich sehe keinen signifikanten Unterschied zwischen ihnen. Beispielsweise blockiert Chrome manchmal einen Beitrag mit Anführungszeichen und manchmal nicht.
Ich verwende Chrome 57 Stable (aus den offiziellen Chrome-Repositories) unter Linux Ubuntu.
(Ich werde den Vorschlag von @QuincyLarson vorerst übernehmen, obwohl es etwas nervös ist, ihn auszuschalten!)
Leider hat die vorgeschlagene Lösung von @QuincyLarson bei mir nicht funktioniert.
Es gibt jedoch weitere Informationen, von denen ich hoffe, dass sie hilfreich sind:
https://bugs.chromium.org/p/chromium/issues/detail?id=702542
https://bugs.chromium.org/p/chromium/issues/detail?id=706038
https://productforums.google.com/forum/#!msg/chrome/4MUJd75N4Jw/8uDOUMgrEQAJ
@paddylandau Danke.
Es scheint, dass das Problem durch explizites Hinzufügen von x-xss-Schutz-Headern zu unserem csp gelöst wird. Hat jemand etwas Zeit, um dies zu testen?
Das Problem beim Hinzufügen dieses Headers besteht darin, dass die Sicherheit im Interesse von Chrome verringert wird. Das kommt mir komisch vor.
Wenn Sie den Header auf 1 setzen, behalten Sie die Sicherheit bei und verhindern, dass Chrome v57 die Sicherheit erhöht. Der einzige wirkliche Unterschied besteht darin, dass v57 einen Code, den v56- und andere Browser bisher stillschweigend blockiert haben, geräuschvoll blockiert.
Ich habe immer noch dieses Problem :(
Dieses Problem tritt immer noch bei "Formularelement erstellen" auf.
Das Interessante an diesem Problem ist, wenn Sie die Lektion in einem anderen Browser abschließen und zu Chrome zurückkehren und die Lösung dieser Lektion "anzeigen". Der Code wird fehlerfrei gelesen und Sie können mit der nächsten Lektion fortfahren. Irgendwelche Gedanken?
Am 10. April 2017, 10:21 Uhr, "Rogerio Penchel" [email protected]
schrieb:
Ich habe immer noch dieses Problem :(
- -
Sie erhalten dies, weil Sie diesen Thread abonniert haben.
Antworte direkt auf diese E-Mail und sieh sie dir auf GitHub an
https://github.com/freeCodeCamp/freeCodeCamp/issues/13727#issuecomment-293018041 ,
oder schalten Sie den Thread stumm
https://github.com/notifications/unsubscribe-auth/AV-9X3RBc4-MBzYNChdMp0_uZrywTADUks5rumUPgaJpZM4MS57P
.
Ich lief dies in Firefox und hatte keine Probleme
@nvnellore Dies gilt nur für Chrom und im weiteren
Ich habe diesen ERR_BLOCKED_BY_XSS_AUDITOR gesehen, wenn ich Inhalte mit einem hinzufüge
Entschuldigung - sollte klarstellen ... versuchen, nur den Inhalt unseres Warenkorbs zu aktualisieren.
Sobald dies enthalten ist
Wir erhalten dann den Fehler ERR_BLOCKED_BY_XSS_AUDITOR.
Ich habe das gerade erlebt.
Die Lösung von @udbhavs hat einwandfrei funktioniert.
Chrome 57
Windows 10 - 64 Bit
Chrome Version 57.0.2987.133 (64-Bit)
Windows 8.1 Pro 64 Bit
@ssisaias - Die @udbhavs funktioniert möglicherweise, aber das liegt daran, dass die Sicherheit absichtlich
Das Problem scheint durch ein Upgrade auf Version 58 (Version 58.0.3029.81 Beta (64 Bit, auf meinem Computer)) behoben zu sein. Ich hatte den gleichen Fehler und musste auf die 3 Punkte eingehen -> ungefähr. Unter der Version befand sich eine Schaltfläche Ich musste drücken, um das Update von Version 57 auf Version 58 abzuschließen. Beim Neustart von Chrome wurde das Problem behoben.
@willdanneriv Du hast vielleicht Glück, weil Version 58 es für mich nicht gelöst hat. Nach dem heutigen Update bekomme ich immer noch den Fehler.
@paddylandau Vielleicht. Bist du in der Beta oder im Stall?
@willdanneriv Stabil. Die, die heute auf meiner Maschine veröffentlicht wurde.
Version 58.0.3029.81 (64-Bit)
Das selbe wie deins.
@paddylandau Hast du den Prozess verfolgt, den ich unter about und relaunch gemacht habe?
Tut mir leid, dass es bei Ihnen nicht funktioniert.
@willdanneriv - Ich verwende Linux, nicht Windows, daher werden Updates automatisch direkt aus dem offiziellen Google-Repository installiert. Ich habe Chrome erst gestartet, nachdem die Updates abgeschlossen waren. Die Versionsnummer, die ich veröffentlicht habe, war ein Ausschneiden und Einfügen aus Chrome "Über Google Chrome".
Als Experiment bin ich auf einen Windows 10-Computer gesprungen und habe es dort versucht, und ich bekomme das gleiche Problem (Chrome natürlich vollständig aktualisiert).
Vielleicht hat das Forum, in dem Sie dies heute zufällig versucht haben, die von @BerkeleyTrue oben beschriebene Lösung hinzugefügt?
Dieses Problem tritt auch auf meinem Mac unter OS Sierra mit Chrome 58.0.3029.81 auf. Ich bin etwas verwirrt, wo ich posten soll, aber hoffentlich funktioniert das!
Bin auch mit dem gleichen Problem in Mac OS konfrontiert.
Ich hatte jetzt das gleiche Problem bei Chrome und ging dann zu Firefox, um fortzufahren, da Chrome mich daran hinderte, Fortschritte zu machen. Ich rate, wenn Sie einen anderen Browser haben, tun Sie das gleiche. Ich denke jedoch immer noch, dass wir sicher sein müssen, dass unsere privaten Informationen hier sicher sind
Erlebt dies noch jemand in Chrome oder Firefox? Ich habe gerade auf Chrome 58 aktualisiert und kann das Problem dort und in der neuesten Firefox nicht reproduzieren.
Wenn Sie auf ein Problem stoßen, melden Sie sich bei einem anderen Browser an und versuchen Sie es auch. Ich habe mich dem Problem in Chrom gestellt und es dann in Safari versucht, was ich gerade getan habe.
Erlebt dies noch jemand in Chrome oder Firefox?
Ja, ich kann mit Chrome 58 auf der Hauptwebsite reproduzieren, aber dieselbe Herausforderung funktioniert auch auf der Beta-Website.
Vielleicht führt dies zu einem anderen Fortschritt als dem, den Berkeley bereits identifiziert hat.
Ich habe jedoch ein Problem festgestellt. Ich verließ Chrome und fuhr mit Firefox fort, als ich
Ich habe die Fehlermeldung gesehen, also habe ich noch ein paar Übungen mit Firefox gemacht
Die Karte dieser bestimmten Übung wurde nicht als erledigt angekreuzt. Es ist gerade erschienen
als ob es übersprungen wurde.
Also bin ich jetzt zurück zu Chrome gegangen, um dies zu tun, und der Fehler wurde behoben. Wie auch immer, ich
Ich konnte nicht dort weitermachen, wo ich in Firefox angehalten habe. Ich habe die Registerkarte aktualisiert und
Ich habe auch die Registerkarte geschlossen und wieder geöffnet, aber mir wurde die nächste Übung gezeigt
nicht die Übung, an der ich gerade an Firefox arbeite.
Ich habe mich dann von meinem Konto bei Chrome abgemeldet und mich erneut angemeldet und konnte
um die Übung auszuwählen, die ich machen möchte. Ich denke, der Prozess kann durchgeführt werden
Besser, wenn ich meinen Tab aktualisiere, komme ich zu der Übung, die ich abgebrochen habe
beim. Vielen Dank für Ihre Hilfe Jungs.
Am Dienstag, 25. April 2017, um 7:34 Uhr, mrugesh mohapatra < notifications@github.com
schrieb:
Erlebt dies noch jemand in Chrome oder Firefox?
Ja, ich kann mit Chrome 58 auf der Hauptwebsite reproduzieren, aber die gleiche Herausforderung
funktioniert OK in der Beta-Website.Vielleicht führt das zu anderen Fortschritten als Berkeley
identifiziert.- -
Sie erhalten dies, weil Sie kommentiert haben.
Antworte direkt auf diese E-Mail und sieh sie dir auf GitHub an
https://github.com/freeCodeCamp/freeCodeCamp/issues/13727#issuecomment-296928274 ,
oder schalten Sie den Thread stumm
https://github.com/notifications/unsubscribe-auth/AZgA8UshOMmM5_yVN3POvedvIIVyoCL9ks5rzZPkgaJpZM4MS57P
.
Tobiloba Ogunlobiyi
+234 816 699 8393
www.linkedin.com/in/tobilobaogunlobiyi
@QuincyLarson - Ja, ich habe dieses Problem immer noch in Chrome 58.
@ tobi10 - Eine einfache Aktualisierung lädt die Seite einfach neu, Ctrl
+ Shift
+ R
. Dies erspart Ihnen das mühsame Abmelden und erneute Anmelden.
@paddylandau - Ich habe wieder das gleiche Problem, ich blieb bei der ersten jQuery-Übung stecken und ging zu Firefox, um die Übung zu machen, und machte auch 4 weitere Übungen. Ich bin dann zu Chrome zurückgekehrt, um fortzufahren. Ich habe mit Strg + Umschalt + R aktualisiert, wie Sie vorgeschlagen haben, und ich habe mich abgemeldet und wieder angemeldet, aber es zeigt, dass ich bei dieser ersten Übung festgefahren bin. Anbei ein Screenshot der Seite
@ tobi10 - Ich denke, dass Sie mit Firefox fortfahren müssen. Ich weiß, ein Ärgernis. Hoffen wir also, dass Google diesen Fehler bald behebt.
Danke @paddylandau
Bitte beziehen Sie sich auf diesen Kommentar .
Ich bin der festen Überzeugung, dass der obige Kommentar richtig analysiert, was hier vor sich geht.
Dies ist höchstwahrscheinlich in staging
behoben, da die automatische Codeausführung auf der Seite gestoppt wurde.
@willdanneriv - Danke, dein Rat hat bei mir funktioniert.
Ich habe das gleiche Problem bei dieser Herausforderung, aber ich werde es gleich auf Kanarien versuchen. Dies ist die Entwicklerversion von Google Chrome. Wenn es funktioniert, werde ich hier eine weitere Nachricht posten, und vielleicht müssen wir alle einfach umschalten.
Ich habe alles auf Kanarischen Inseln ausprobiert und konnte problemlos ohne Fehler oder Probleme fertig werden. Ich bin Windows 7 und habe die aktuelle Version von Google Chrome. Es handelt sich also nicht nur um eine Windows 10-Version oder eine alte Version von Chrome.
Ihr könnt Canary hier bekommen, wenn ihr es stattdessen versuchen wollt. https://www.google.com/chrome/browser/canary.html
Ich habe dies auch auf Vivaldi 1.8.770.56 (Stable Channel) (64-Bit) unter Arch Linux - es basiert ebenfalls auf Chromium. Gleicher Ort wie @ tobi10
Ich hatte dieses Problem in Chrome, aber gemäß dem obigen Vorschlag von
Ausgabe erneut
Hallo, das ist ein bekanntes Problem. Und wir versuchen herauszufinden, wie dies behoben werden kann.
Bitte benutze stattdessen das (👍) am Eröffnungsbeitrag in diesem Thread.
Wir möchten diesen Thread nur für mögliche Lösungen behalten.
Beheben des Problems in Chrome Version 58.0.3029.96 (64-Bit).
Das Problem in Firefox Version 53.0.2 (32-Bit) wird nicht angezeigt.
Versuchen Sie, kein JavaScript zu verwenden.
Es stellte sich heraus, dass das Ersetzen von JavaScript: void (0) durch # mein Problem behoben hat.
Vielen Dank.
Am Montag, den 8. Mai 2017 um 19:09 Uhr, priyasjoshi notifications@github.com
schrieb:
Versuchen Sie, kein JavaScript zu verwenden.
Ich hatte die gleichen Probleme wie beim Ersetzen von JavaScript: void (0) durch #
mein Problem gelöst.- -
Sie erhalten dies, weil Sie kommentiert haben.
Antworte direkt auf diese E-Mail und sieh sie dir auf GitHub an
https://github.com/freeCodeCamp/freeCodeCamp/issues/13727#issuecomment-300032774 ,
oder schalten Sie den Thread stumm
https://github.com/notifications/unsubscribe-auth/AT1eCNOnLJ8N0nN5JHiBNCx-e4cFc42Cks5r37zDgaJpZM4MS57P
.
Bitte nehmen Sie Kontakt mit uns auf, während wir versuchen, dies zu beheben.
aus dem heutigen Kernteamgespräch:
Daher glaube ich, dass wir möglicherweise die Logik aus der Beta replizieren müssen. Entfernen Sie die Lösung hauptsächlich aus dem URL beim Lesen, deaktivieren Sie die automatische Ausführung und fügen Sie die Codesperre hinzu
Einige Codes, die in der Produktion verwendet werden, um den Code uri zu entfernen und zu sperren (Lösung in uri)
https://github.com/freeCodeCamp/freeCodeCamp/blob/staging/client/sagas/code-storage-saga.js#L98
Die dazu verwendeten Utensilien:
Holen Sie sich den Code von der Uri:
https://github.com/freeCodeCamp/freeCodeCamp/blob/staging/client/utils/code-uri.js#L52
Code entfernen uri:
https://github.com/freeCodeCamp/freeCodeCamp/blob/staging/client/utils/code-uri.js#L66
Hier in dem Epos, das das Erstellen der Dateien behandelt, bevor sie zum Iframe gehen, überprüfen wir, ob der Code automatisch ausgeführt wird
https://github.com/freeCodeCamp/freeCodeCamp/blob/staging/client/sagas/build-challenge-epic.js#L24
Hier sperren wir die Ausführungsschaltfläche in der klassischen Ansicht und zeigen eine Entsperrschaltfläche an
Hinweis: Ich habe einen großen Refactor in Arbeit, der alle diese Links unterbricht. Ich werde sie in einem separaten Kommentar aktualisieren, wenn diese PR zusammengeführt wird
Vielen Dank an @BerkeleyTrue , ich werde heute Abend eine
@raisedadead super - danke für deine Hilfe. Bitte halten Sie uns auf dem Laufenden und teilen Sie uns mit, ob Sie ein Backup benötigen.
Letzten Dienstag haben @raisedadead und ich
Dieses Problem ist in der Beta-Version von freeCodeCamp in keinem Browser und mit keinem Code reproduzierbar.
Unter Verwendung des im ersten Bericht freigegebenen Codes ist dieses Problem in Chrome 57 und Chrome 58 (aktuell) reproduzierbar, in Chrome 59 (Chrome Beta) oder Chrome 60 (Chrome Canary) jedoch nicht.
In dieser Zeile aktivieren wir das Helm xxsFilter Plugin. Es setzt den X-XXS-Protection
Header auf 1; mode=block
. Es ist seit zwei Jahren dort.
Schauen wir uns den Fehler noch einmal an:
Der XSS Auditor blockierte den Zugriff auf " https://www.freecodecamp.com/challenges/add-a-submit-button-to-a-form# ? Solution = solution-here", da der Quellcode eines Skripts darin gefunden wurde die Anfrage. Der Auditor wurde aktiviert, da der Server keinen "X-XSS-Protection" -Header gesendet hat.
Das verwirrt mich. Wir haben diesen Header immer gesendet, er ist definitiv in der Antwort enthalten, aber er sagt immer noch, dass er nicht vorhanden ist. Meine beste Vermutung, warum dies geschieht: Der Header wird für die Seite /add-a-submit-button-to-a-form
gesendet. Das Problem tritt bei /add-a-submit-button-to-a-form#?solution=solution-here
, was irgendwie anders aussieht. Ich glaube, dass dies ein Fehler in Chrome sein kann.
In Chrome 57 wurde kein vorhandener Header standardmäßig auf 1; mode=block
geändert, und 1
auch als 1; mode=block
[Quelle] behandelt . Aus diesem Grund haben wir dieses Problem ab dieser Version bemerkt. Ich habe noch nicht herausgefunden, dass die Ursache für dieses Problem in Chrome 59 nicht mehr vorhanden ist. Ich bin nicht sicher, ob sie nur unser spezifisches Problem behoben haben oder ob sie ihre Änderung von Version 57 zurückgesetzt haben.
Hier ist eine kurze Zusammenfassung dessen, was der XSS-Auditor tut (oder zumindest wie ich es verstehe): Es werden die URL und der Seitenquellcode angezeigt. Wenn in der URL, die auch im HTML-Code gefunden wird, ein Skript (oder etwas anderes, das bösartig erscheint) gefunden wird, wird die Seite blockiert. [Quelle 1] [Quelle 2] [Quelle 3]
Die richtige und einfachste Lösung sollte darin bestehen, den Header X-XXS-Protection
auf 0
. Wir haben dies jedoch versucht, da dieser Header nicht erfasst wird (ich verstehe nicht warum), funktioniert dies nicht. Die alternative Lösung, die jetzt vorgeschlagen wurde, besteht darin, den Code aus der URL zu entfernen, damit die URL die Seite nicht mehr beeinflusst und der XSS-Auditor nicht ausflippt. Ich denke, es wird schwierig sein, diese Arbeit in der Produktionsversion zu machen, aber ich glaube, es sollte das Problem lösen. Ich glaube, daran arbeitet @raisedadead .
Vielen Dank für den Einblick und die hervorragende Zusammenfassung dessen, was wir neulich getestet haben. Ja, es ist ein bisschen schwierig auf der Produktionsseite, ich werde so schnell wie möglich aktualisieren.
Durch Hinzufügen dieses "--disable-xss-auditor" zum Zielfeld der Chrome-Verknüpfung funktionierte es für mich.
Bei Chrome oder Firefox (54.0b12) hat es bei mir nicht funktioniert. Musste auf IE zurückgreifen.
Dies wurde sowohl in der Beta als auch auf der Hauptwebsite behoben.
Viel Spaß beim Codieren!
Hilfreichster Kommentar
Ich kann dies mit Chrome 57 sowohl auf der Beta- als auch auf der Live-Site reproduzieren.
Die Version, in der dies reproduziert werden kann, ist 57.0.2987.88. Aus dem Chrome-Blog am 9. März:
Der Fehler:
Dies erwähnt, dass der Fehler, den wir sehen, tatsächlich durch die in Chrome 57 aktivierte Funktionalität verursacht wird.
Die Warnung scheint durch ein Formular im Iframe ausgelöst zu werden.
Hier ist ein StackOverflow-Beitrag mit einem Vorschlag zur Lösung dieses Problems.
Ich habe getestet, wie Codepen damit umgeht. Dort funktioniert es gut. Einige bemerkenswerte Unterschiede:
ALLOWALL
bei Codepen,SAMEORIGIN
bei fCC. Ich denke, dass dies wahrscheinlich nicht die Ursache ist, aber es kann damit zusammenhängen.1; mode=block
auf fCC, aber nicht auf Codepen vorhanden. Ich denke, das ist der Grund, warum es auf Codepen funktioniert, aber nicht auf fCC./ cc @ freeCodeCamp / moderators Dies scheint ein sehr ernstes Problem für uns zu werden, aber ich bin mir nicht sicher. Kann jemand helfen, Nachforschungen anzustellen?