Freecodecamp: Chrome muestra un mensaje de error en el iframe: se detectó un código inusual
Actualizar
Utilice Firefox mientras buscamos una solución. Disculpas por los inconvenientes.
Desafío Agregar un botón Enviar a un formulario tiene un problema.
El agente de usuario es: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) <strong i="11">Chrome/57.0.2987.88</strong> Safari/537.36 .
_Descripción editada por
Se muestra una advertencia en el marco del teléfono. Dice: "Chrome detectó un código inusual en esta página y lo bloqueó para proteger su información personal (por ejemplo, contraseñas, números de teléfono y tarjetas de crédito)".
Código:
<link href="https://fonts.googleapis.com/css?family=Lobster" rel="stylesheet" type="text/css">
<style>
.red-text {
color: red;
}
h2 {
font-family: Lobster, Monospace;
}
p {
font-size: 16px;
font-family: Monospace;
}
.thick-green-border {
border-color: green;
border-width: 10px;
border-style: solid;
border-radius: 50%;
}
.smaller-image {
width: 100px;
}
</style>
<h2 class="red-text">CatPhotoApp</h2>
<p>Click here for <a href="#">cat photos</a>.</p>
<a href="#"><img class="smaller-image thick-green-border" alt="A cute orange cat lying on its back. " src="https://bit.ly/fcc-relaxing-cat"></a>
<p>Things cats love:</p>
<ul>
<li>cat nip</li>
<li>laser pointers</li>
<li>lasagna</li>
</ul>
<p>Top 3 things cats hate:</p>
<ol>
<li>flea treatment</li>
<li>thunder</li>
<li>other cats</li>
</ol>
<form action="/submit">
</form>
<form action="/submit-cat-photo">
<input type="text" placeholder="cat photo URL">
</form>
natuan62
Todos 72 comentarios
@ leekirby6 gracias por el problema. ¿Puede dar más información sobre dónde vio esta notificación? Una captura de pantalla también puede ayudar si puede proporcionar una. No recibo ninguna notificación de Chrome cuando abro la página. ¡Gracias!
erictleung
en 4 mar. 2017
Oh, olvidé la captura de pantalla.
No pasa nada cuando uso Firefox.
natuan62
en 4 mar. 2017
Podría estar relacionado con Chrome Beta. Ver # 12655. Funciona bien para mí con Chrome estable. @ leekirby6 ¿Puedes probarlo con Chrome estable?
szib
en 4 mar. 2017
Gracias por confiar. Prefiero beta vesion que estable:
¡Usé firefox!
natuan62
en 4 mar. 2017
¿Es este error una indicación de que los campistas lo verán en una versión futura de Chrome? Si ese es el caso, probablemente deberíamos asegurarnos de que esto se solucione antes del lanzamiento.
systimotic
en 5 mar. 2017
Puedo reproducir esto con Chrome 57, tanto en la versión beta como en el sitio en vivo.
La versión donde se puede reproducir es 57.0.2987.88. Del blog de lanzamientos de Chrome , el 9 de marzo:
El equipo de Chrome se complace en anunciar la promoción de Chrome 57 al canal estable: 57.0.2987.98 para Windows, Mac y Linux. Esto se implementará en los próximos días / semanas.
El error:
El auditor XSS bloqueó el acceso a ' https://www.freecodecamp.com/challenges/add-a-submit-button-to-a-form# ? Solution = solution-here' porque el código fuente de un script se encontró dentro la solicitud. El auditor se habilitó porque el servidor no envió un encabezado 'X-XSS-Protection'.
Esto menciona que el error que estamos viendo es causado por la funcionalidad habilitada en Chrome 57.
La advertencia parece desencadenarse al tener un formulario en el iframe.
Aquí hay una publicación de StackOverflow con una sugerencia sobre cómo resolver esto.
Probé cómo Codepen maneja esto. Funciona bien allí. Algunas diferencias notables:
- X-Frame-Options es
ALLOWALLen Codepen,SAMEORIGINen fCC. Creo que es poco probable que esta sea la causa, pero puede estar relacionada. - X-XSS-Protection es
1; mode=blocken fCC, pero no está presente en Codepen. Creo que es por eso que funciona en Codepen pero no en fCC.
/ cc @ freeCodeCamp / moderators Esto parece que tiene el potencial de convertirse en un problema muy serio para nosotros, pero no estoy seguro. ¿Alguien puede ayudar a investigar?
systimotic
en 12 mar. 2017
@systimotic gracias por llamar la atención de todos. Sí, este es un problema grave. Si Google lanza esta actualización, romperá por completo nuestros desafíos. Así que tenemos que arreglar esto lo antes posible.
¿Ha podido hacer algún progreso en esto?
@BerkeleyTrue ¿ Es esto algo que podría arreglar e implementar en producción muy rápido, o tiene a alguien en mente para delegar esto?
QuincyLarson
en 13 mar. 2017
El lunes 13 de marzo de 2017 a las 6:44 p.m., Quincy Larson [email protected]
escribió:
@systimotic https://github.com/systimotic gracias por traer esto a
la atención de todos. Sí, este es un problema grave. Si Google lanza
esta actualización romperá completamente nuestros desafíos. Entonces tenemos que arreglar
esto lo antes posible.¿Ha podido hacer algún progreso en esto?
@BerkeleyTrue https://github.com/BerkeleyTrue es algo que
podría arreglar e implementar en producción muy rápido, o tiene a alguien en
¿Me importa delegar esto?-
Recibes esto porque estás suscrito a este hilo.
Responda a este correo electrónico directamente, véalo en GitHub
https://github.com/freeCodeCamp/freeCodeCamp/issues/13727#issuecomment-286147082 ,
o silenciar el hilo
https://github.com/notifications/unsubscribe-auth/AX9USGhYYpx9VbE14GEjc5ELIWUePYCaks5rlWRggaJpZM4MS57P
.
iansibindi
en 13 mar. 2017
Tengo una idea, levantaré un PR contra el respaldo / maestro si mi teoría funciona.
Si funciona, puedo implantarlo también para la estadificación.
Bouncey
en 13 mar. 2017
Pero por favor, si alguien más tiene una idea, adelante y trabaje en ella
Esto parece un problema crítico
Bouncey
en 13 mar. 2017
@QuincyLarson @systimotic @Bouncey Mirándolo, (según el enlace de @timo ) Chrome cambia el comportamiento predeterminado X-XSS-Protection: 1 a X-XSS-Protection: 1; mode=block . Lo que hace es bloquear completamente una página para que no se ejecute cuando el código fuente de la página está dentro de la propia solicitud (es decir, código-url).
Antes, el comportamiento predeterminado de Chrome era filtrar las partes del script que se considerarían dañinas. Hemos solucionado esto codificando las partes específicas de las que Chrome se quejaría (acciones de formulario y demás) y luego las decodificamos antes de inyectarlas en el iframe.
Ahora el comportamiento predeterminado va a bloquear la página por completo. Esto es lo que está causando el problema (creo).
Descargué Chrome Canary y ~ no he podido replicar el problema (está en la versión 59) ~ Pude replicarlo agregando una etiqueta de script al código-uri.
BerkeleyTrue
en 13 mar. 2017
Una solución puede ser tan simple como cambiar nuestro X-XSS-PROTECTION a 1 ;
BerkeleyTrue
en 13 mar. 2017
No puedo replicar en beta, pero puedo en producción
Chrome 57 es ahora el 'estable de Chrome' para Ubuntu
Bouncey
en 13 mar. 2017
No puedo reproducir localmente en copia de seguridad / maestro
Bouncey
en 13 mar. 2017
intente publicar, a través del control del servidor, algo de código html y JavaScript en el servidor y verá el problema.
1cm
en 16 mar. 2017
me pasó en Chrome versión 57.0.2987.110 (64 bits) Win10 64 bits
driftshift
en 20 mar. 2017
Hola a todos,
por favor ayúdame a entender esto mejor.
Soy Analista de Negocios en una empresa de Software. Experimentamos el problema de que después de la actualización 57.0.2987.98 de Chrome, aparece el error "Esta página no funciona. Chrome detectó un código inusual en esta página y lo bloqueó para proteger su información personal (por ejemplo, contraseñas, números de teléfono y tarjetas de crédito). . ERR_BLOCKED_BY_XSS_AUDITOR "- básicamente lo que estás discutiendo aquí.
Mis preguntas serían:
- ¿Es un error o una característica?
- si es un error, ¿dónde puedo obtener la información cuando se solucione?
Tenemos varios clientes que sufren este error y debemos entender si debemos esperar a que se solucione Chrome o implementar la solución de nuestro lado.
dimapct
en 21 mar. 2017
@dimapct Este es el repositorio de FreeCodeCamp.com, no de Chrome. Dirija sus preguntas relacionadas con su software empresarial y Chrome al equipo de Chrome, no a nosotros.
BerkeleyTrue
en 21 mar. 2017
@QuincyLarson
Configuración de Chrome> configuración avanzada> Proteger de sitios peligrosos> desactivado
funcionó para mí por un tiempo
udbhavs
en 22 mar. 2017
Acabo de encontrarme con este informe de error. Me pregunto si mi experiencia podría arrojar algo de luz sobre esto.
Cuando escribo una publicación en los foros de Ubuntu , que es un sitio perfectamente genuino, Chrome con frecuencia, pero no siempre, me da este error cuando presiono "Vista previa de la publicación".
He intentado encontrar un patrón, pero parece completamente arbitrario; Puedo escribir algunas palabras, que Chrome acepta, y otras, que no, y no veo ninguna diferencia significativa entre ellas. Por ejemplo, a veces Chrome bloquea una publicación con comillas y otras veces no.
Utilizo Chrome 57 Stable (de los repositorios oficiales de Chrome) en Linux Ubuntu.
( Adoptaré la sugerencia de
paddylandau
en 27 mar. 2017
Desafortunadamente, la solución propuesta por @QuincyLarson no funcionó para mí.
Sin embargo, hay más información, que espero sea de ayuda:
https://bugs.chromium.org/p/chromium/issues/detail?id=702542
https://bugs.chromium.org/p/chromium/issues/detail?id=706038
https://productforums.google.com/forum/#!msg/chrome/4MUJd75N4Jw/8uDOUMgrEQAJ
paddylandau
en 4 abr. 2017
@paddylandau Gracias.
Parece que el problema se resuelve agregando explícitamente encabezados x-xss-protection a nuestro csp. ¿Alguien tiene algo de tiempo para probar esto?
BerkeleyTrue
en 4 abr. 2017
El problema de agregar este encabezado es que significa reducir la seguridad, por el bien de Chrome. Eso me parece raro.
paddylandau
en 5 abr. 2017
En realidad, si configuras el encabezado en 1, entonces solo mantendrás la seguridad igual y evitarás que Chrome v57 aumente la seguridad. La única diferencia real es que v57 bloquea ruidosamente algún código que v56 y otros navegadores han estado bloqueando silenciosamente hasta ahora.
darkporpoise
en 5 abr. 2017
Sigo experimentando este problema :(
nvnellore
en 7 abr. 2017
Sigo experimentando este problema en "Crear un elemento de formulario".
Rogerup
en 10 abr. 2017
Lo interesante con respecto a este problema es que cuando completa la lección en un navegador diferente y regresa a Chrome y "ve la solución" de esa lección, el código se lee sin errores y puede continuar con la siguiente lección. ¿Alguna idea?
UnwrittenCanvas
en 11 abr. 2017
El 10 de abril de 2017 a las 10:21 a. M., "Rogerio Penchel" [email protected]
escribió:
Sigo experimentando este problema :(
-
Recibes esto porque estás suscrito a este hilo.
Responda a este correo electrónico directamente, véalo en GitHub
https://github.com/freeCodeCamp/freeCodeCamp/issues/13727#issuecomment-293018041 ,
o silenciar el hilo
https://github.com/notifications/unsubscribe-auth/AV-9X3RBc4-MBzYNChdMp0_uZrywTADUks5rumUPgaJpZM4MS57P
.
Lurches
en 11 abr. 2017
Ejecuté esto en Firefox y no tuve problemas
nvnellore
en 11 abr. 2017
@nvnellore Esto se aplica solo a Chromium y, por extensión, a Chrome. Ningún otro navegador da este problema.
paddylandau
en 11 abr. 2017
He visto este ERR_BLOCKED_BY_XSS_AUDITOR cuando agrego contenido con un
mcgargle
en 12 abr. 2017
Lo siento, debo aclarar ... tratando de actualizar el contenido de nuestro carrito de compras.
Una vez que esto está incluido
luego obtenemos el error ERR_BLOCKED_BY_XSS_AUDITOR.
mcgargle
en 12 abr. 2017
Experimenté esto ahora mismo.
La solución de @udbhavs funcionó bien.
Cromo 57
Windows 10 - 64 bits
ssisaias
en 15 abr. 2017
Versión de Chrome 57.0.2987.133 (64 bits)
Windows 8.1 Pro de 64 bits
freakshowtm
en 19 abr. 2017
@ssisaias : la solución alternativa (no una solución) de @udbhavs podría funcionar, ¡pero eso se debe a que rompe la seguridad deliberadamente! No es una solución alternativa razonable, y ciertamente no es apropiada para una computadora en el trabajo o cualquier computadora que tenga información confidencial.
paddylandau
en 19 abr. 2017
El problema parece resolverse actualizando a la versión 58 (Versión 58.0.3029.81 beta (64 bits, en mi máquina). Recibí el mismo error y tuve que ingresar a los 3 puntos -> aproximadamente. Debajo de la versión había un botón Tuve que presionar para completar la actualización de v57 a v58. Tras el reinicio de Chrome, se resolvió el problema.
willdanneriv
en 19 abr. 2017
@willdanneriv Tienes suerte, quizás, porque la versión 58 no me lo ha resuelto. Sigo teniendo el error después de la actualización de hoy.
paddylandau
en 20 abr. 2017
@paddylandau Quizás. ¿Estás en Beta o Estable?
willdanneriv
en 20 abr. 2017
@willdanneriv Estable. El que fue lanzado a mi máquina hoy.
Versión 58.0.3029.81 (64 bits)
Igual a los tuyos.
paddylandau
en 20 abr. 2017
@paddylandau ¿
Solo cubriendo bases, lo siento, no te está funcionando.
willdanneriv
en 20 abr. 2017
@willdanneriv : uso Linux, no Windows, por lo que las actualizaciones se instalan automáticamente directamente desde el repositorio oficial de Google. Inicié Chrome solo después de que se completaron las actualizaciones; el número de versión que publiqué fue un cortar y pegar de "Acerca de Google Chrome" de Chrome.
Como experimento, me subí a una máquina con Windows 10 y probé allí, y tengo el mismo problema (Chrome completamente actualizado, por supuesto).
¿Quizás el foro en el que ha probado esto coincidentemente hoy agregó la solución descrita por @BerkeleyTrue arriba?
paddylandau
en 20 abr. 2017
También estoy experimentando este problema en mi Mac con OS Sierra con Chrome 58.0.3029.81. Estoy un poco confundido sobre dónde publicar, ¡pero espero que esto funcione!
savemeaspark
en 22 abr. 2017
También estoy enfrentando el mismo problema en mac os.
MuruganPushparaj
en 24 abr. 2017
Tuve el mismo problema ahora en Chrome, luego fui a Firefox para continuar, ya que Chrome me impedía progresar. Le aconsejo que si tiene otro navegador, haga lo mismo. Sin embargo, sigo pensando que debemos estar seguros de que nuestra información privada está segura aquí.
tobi10
en 24 abr. 2017
¿Alguien sigue experimentando esto en Chrome o Firefox? Acabo de actualizar a Chrome 58 y no puedo reproducir el problema allí, ni en el último Firefox.
QuincyLarson
en 25 abr. 2017
Cuando tenga problemas, inicie sesión en otro navegador e intente lo mismo. Me enfrenté al problema en Chrome y luego lo intenté en Safari.
MuruganPushparaj
en 25 abr. 2017
¿Alguien sigue experimentando esto en Chrome o Firefox?
Sí, puedo reproducir con Chrome 58 en el sitio web principal, pero el mismo desafío funciona bien en el sitio web beta.
Tal vez sea una pista para el progreso diferente a lo que Berkeley ya ha identificado.
raisedadead
en 25 abr. 2017
Sin embargo, noté un problema. Dejé Chrome y continué en Firefox cuando
vi el mensaje de error, así que hice algunos ejercicios más en Firefox, pero en
el mapa de ese ejercicio en particular no estaba marcado como hecho. Simplemente apareció
como si se hubiera saltado.
Así que volví a Chrome ahora para hacerlo y el error se ha solucionado. Sin embargo, yo
no podía continuar desde donde me detuve en Firefox, actualicé la pestaña y
También cerré la pestaña y la volví a abrir, pero se me mostró el siguiente ejercicio
no es el ejercicio en el que estoy trabajando actualmente en Firefox.
Luego salí de mi cuenta en Chrome y volví a iniciar sesión y pude
para seleccionar el ejercicio que quiero hacer. Creo que el proceso se puede hacer
mejor, para que si actualizo mi pestaña me lleve al ejercicio que paré
a. gracias por su ayuda chicos.
El martes 25 de abril de 2017 a las 7:34 a.m., mrugesh mohapatra < Notifications@github.com
escribió:
¿Alguien sigue experimentando esto en Chrome o Firefox?
Sí, puedo reproducir con Chrome 58 en el sitio web principal, pero el mismo desafío
funciona bien en el sitio web beta.Tal vez sea una pista para el progreso que no sea lo que Berkeley ya tiene
identificado.-
Estás recibiendo esto porque comentaste.
Responda a este correo electrónico directamente, véalo en GitHub
https://github.com/freeCodeCamp/freeCodeCamp/issues/13727#issuecomment-296928274 ,
o silenciar el hilo
https://github.com/notifications/unsubscribe-auth/AZgA8UshOMmM5_yVN3POvedvIIVyoCL9ks5rzZPkgaJpZM4MS57P
.
-
Tobiloba Ogunlobiyi
+234 816 699 8393
www.linkedin.com/in/tobilobaogunlobiyi
tobi10
en 25 abr. 2017
@QuincyLarson : Sí, todavía tengo este problema en Chrome 58.
@ tobi10 - Una simple actualización simplemente recarga la página, pero no actualiza todo; todavía usa el caché. Para forzar una actualización completa e ignorar la caché, presione Ctrl + Shift + R . Debería ahorrarle la molestia de cerrar sesión y volver a iniciarla.
paddylandau
en 25 abr. 2017
@paddylandau - Tengo el mismo problema nuevamente, me quedé atascado en el primer ejercicio de jQuery y fui a Firefox para hacer el ejercicio y también hice 4 ejercicios más. Luego volví a Chrome para continuar. Actualicé usando ctrl + shift + R como sugirió y me desconecté y volví a iniciar sesión, pero muestra que estoy atascado en ese primer ejercicio. Se adjunta una captura de pantalla de la página.
tobi10
en 27 abr. 2017
@ tobi10 : supongo que tendrás que continuar en Firefox. Una molestia, lo sé, así que esperemos que Google solucione este error pronto.
paddylandau
en 27 abr. 2017
Gracias @paddylandau
tobi10
en 28 abr. 2017
Consulte este comentario .
Creo firmemente que el comentario anterior analiza correctamente lo que está sucediendo aquí.
Lo más probable es que esto esté arreglado en staging porque hemos detenido la ejecución automática del código en la página.
raisedadead
en 28 abr. 2017
@willdanneriv - Gracias, su consejo funcionó para mí.
astoroid
en 3 may. 2017
Estoy teniendo el mismo problema en ese desafío, pero estoy a punto de probarlo en Canary; que es la versión para desarrolladores de Google Chrome. Si funciona, publicaré otro mensaje aquí, y tal vez todos tengamos que cambiar.
Lo probé todo en Canary y pude terminar fácilmente sin errores ni problemas. Soy Windows 7 y tengo la versión actual de Google Chrome, por lo que no es solo un problema de Windows 10 o una versión anterior de Chrome.
Ustedes pueden conseguir Canary aquí, si quieren probarlo. https://www.google.com/chrome/browser/canary.html
SenaminBun
en 3 may. 2017
También tengo esto en Vivaldi 1.8.770.56 (canal estable) (64 bits) en Arch Linux; también se basa en Chromium. Mismo lugar que @ tobi10
opalepatrick
en 3 may. 2017
Tuve este problema en Chrome, pero según la sugerencia anterior de @paddylandau , hice una actualización completa y luego funcionó. (CMD + MAYÚS + R en Mac)
frankmullen
en 4 may. 2017
Emitir de nuevo
SellersC
en 4 may. 2017
Hola, este es un problema conocido. Y estamos tratando de encontrar formas de solucionarlo.
NO comente este hilo para confirmar el problema (ya que ya no es necesario).
En su lugar, use el (👍) en la publicación de apertura de este hilo.
Nos gustaría mantener este hilo solo para posibles soluciones.
raisedadead
en 5 may. 2017
Obteniendo el problema en Chrome versión 58.0.3029.96 (64 bits).
No aparece el problema en Firefox versión 53.0.2 (32 bits).
Jason-Prince
en 9 may. 2017
Intente no utilizar JavaScript.
Tuve los mismos problemas que resultaron que reemplazar JavaScript: void (0) con # resolvió mi problema.
priyasjoshi
en 9 may. 2017
Gracias.
El lunes 8 de mayo de 2017 a las 7:09 p.m., priyasjoshi Notifications@github.com
escribió:
Intente no utilizar JavaScript.
Tuve los mismos problemas que al reemplazar JavaScript: void (0) con #
resolvió mi problema.-
Estás recibiendo esto porque comentaste.
Responda a este correo electrónico directamente, véalo en GitHub
https://github.com/freeCodeCamp/freeCodeCamp/issues/13727#issuecomment-300032774 ,
o silenciar el hilo
https://github.com/notifications/unsubscribe-auth/AT1eCNOnLJ8N0nN5JHiBNCx-e4cFc42Cks5r37zDgaJpZM4MS57P
.
Jason-Prince
en 9 may. 2017
La solución alternativa actual es utilizar Firefox en lugar de Chrome.
Por favor, tengan paciencia con nosotros mientras intentamos solucionar este problema.
raisedadead
en 17 may. 2017
de la conversación del equipo central de hoy:
Entonces creo que tendremos que replicar la lógica de la versión beta. Básicamente, separar la solución del uri al leer, deshabilitar la ejecución automática y agregar bloqueo de código
BerkeleyTrue
en 23 may. 2017
Algún código utilizado en producción para eliminar y bloquear el código uri (solución en uri)
https://github.com/freeCodeCamp/freeCodeCamp/blob/staging/client/sagas/code-storage-saga.js#L98
Las utilidades solían hacer esto:
obtener el código de la uri:
https://github.com/freeCodeCamp/freeCodeCamp/blob/staging/client/utils/code-uri.js#L52
eliminar código uri:
https://github.com/freeCodeCamp/freeCodeCamp/blob/staging/client/utils/code-uri.js#L66
Aquí en la épica que maneja la construcción de los archivos antes de que vayan al iframe es donde verificamos si el código se ejecutará automáticamente
https://github.com/freeCodeCamp/freeCodeCamp/blob/staging/client/sagas/build-challenge-epic.js#L24
Aquí bloqueamos el botón de ejecución en la vista clásica y mostramos un botón de desbloqueo
nota: tengo un refactor importante en proceso que romperá todos estos enlaces. Los actualizaré en un comentario separado cuando ese RP se fusione en
BerkeleyTrue
en 23 may. 2017
Gracias @BerkeleyTrue , voy a
raisedadead
en 24 may. 2017
@raisedadead increíble, gracias por tu ayuda. Manténganos informados y háganos saber si necesita alguna copia de seguridad.
QuincyLarson
en 25 may. 2017
El martes pasado, @raisedadead y yo
Este problema _no_ se puede reproducir en la versión beta de freeCodeCamp, en cualquier navegador, con cualquier código.
Usando el código compartido en el informe inicial, este problema _es_ reproducible en Chrome 57 y Chrome 58 (actual), pero _no_ en Chrome 59 (Chrome Beta) o Chrome 60 (Chrome Canary).
En esta línea , habilitamos el complemento helmet xxsFilter. Establece el encabezado X-XXS-Protection en 1; mode=block . Ha estado ahí por dos años.
Veamos el error nuevamente:
El auditor XSS bloqueó el acceso a ' https://www.freecodecamp.com/challenges/add-a-submit-button-to-a-form# ? Solution = solution-here' porque el código fuente de un script se encontró dentro la solicitud. El auditor se habilitó porque el servidor no envió un encabezado 'X-XSS-Protection'.
Esto me confunde. Siempre hemos enviado este encabezado, definitivamente está allí en la respuesta, pero todavía dice que no está allí. Mi mejor suposición de por qué sucede esto: el encabezado se envía para la página /add-a-submit-button-to-a-form . El problema ocurre en el /add-a-submit-button-to-a-form#?solution=solution-here , que de alguna manera considera diferente. Creo que esto puede ser un error en Chrome.
En Chrome 57, no se cambió ningún encabezado presente por defecto a 1; mode=block , y 1 también se manejaría como 1; mode=block [fuente] . Es por eso que comenzamos a notar este problema desde esa versión. Todavía no he descubierto la fuente de este problema que ya no está presente en Chrome 59. No estoy seguro de si solo han solucionado nuestro problema específico o si han revertido el cambio de la versión 57.
Aquí hay un breve resumen de lo que hace el auditor XSS (o al menos, cómo lo entiendo): mira la URL y el código fuente de la página. Si encuentra un script (o algo que parezca malicioso) en la URL que también encuentra en el HTML, bloqueará la página. [fuente 1] [fuente 2] [fuente 3]
La solución adecuada y más fácil debería ser establecer el encabezado X-XXS-Protection en 0 . Sin embargo, intentamos esto, ya que este encabezado no se recoge (no entiendo por qué), esto no funciona. La solución alternativa que se ha sugerido ahora sería eliminar el código de la URL, para que la URL ya no influya en la página y el auditor de XSS no se asuste. Creo que será complicado hacer que esto funcione dentro de la versión de producción, pero creo que debería resolver el problema. Creo que esto es en lo que está trabajando @raisedadead .
systimotic
en 26 may. 2017
Gracias por la información y el excelente resumen de lo que depuramos el otro día. Sí, es un poco complicado en el sitio de producción, lo actualizaré lo antes posible.
raisedadead
en 26 may. 2017
Agregar este "--disable-xss-auditor" al campo de destino del acceso directo de Chrome lo hizo funcionar para mí.
Barryzachoppa
en 28 may. 2017
No funcionó en Chrome o Firefox (54.0b12) para mí. Tuve que recurrir al uso de IE.
accidentalpurpose
en 2 jun. 2017
Esto se ha solucionado tanto en la versión beta como en el sitio web principal.
¡Feliz codificación!
raisedadead
en 10 jun. 2017
Temas relacionados
vaibsharma
·
3Comentarios
MelissaManning
·
3Comentarios
SaintPeter
·
3Comentarios
MichaelLeeHobbs
·
3Comentarios
EthanDavis
·
3Comentarios
Comentario más útil
Puedo reproducir esto con Chrome 57, tanto en la versión beta como en el sitio en vivo.
La versión donde se puede reproducir es 57.0.2987.88. Del blog de lanzamientos de Chrome , el 9 de marzo:
El error:
Esto menciona que el error que estamos viendo es causado por la funcionalidad habilitada en Chrome 57.
La advertencia parece desencadenarse al tener un formulario en el iframe.
Aquí hay una publicación de StackOverflow con una sugerencia sobre cómo resolver esto.
Probé cómo Codepen maneja esto. Funciona bien allí. Algunas diferencias notables:
ALLOWALLen Codepen,SAMEORIGINen fCC. Creo que es poco probable que esta sea la causa, pero puede estar relacionada.1; mode=blocken fCC, pero no está presente en Codepen. Creo que es por eso que funciona en Codepen pero no en fCC./ cc @ freeCodeCamp / moderators Esto parece que tiene el potencial de convertirse en un problema muy serio para nosotros, pero no estoy seguro. ¿Alguien puede ayudar a investigar?