Actualizar
Desafío Agregar un botón Enviar a un formulario tiene un problema.
El agente de usuario es: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) <strong i="11">Chrome/57.0.2987.88</strong> Safari/537.36
.
_Descripción editada por
Se muestra una advertencia en el marco del teléfono. Dice: "Chrome detectó un código inusual en esta página y lo bloqueó para proteger su información personal (por ejemplo, contraseñas, números de teléfono y tarjetas de crédito)".
Código:
<link href="https://fonts.googleapis.com/css?family=Lobster" rel="stylesheet" type="text/css">
<style>
.red-text {
color: red;
}
h2 {
font-family: Lobster, Monospace;
}
p {
font-size: 16px;
font-family: Monospace;
}
.thick-green-border {
border-color: green;
border-width: 10px;
border-style: solid;
border-radius: 50%;
}
.smaller-image {
width: 100px;
}
</style>
<h2 class="red-text">CatPhotoApp</h2>
<p>Click here for <a href="#">cat photos</a>.</p>
<a href="#"><img class="smaller-image thick-green-border" alt="A cute orange cat lying on its back. " src="https://bit.ly/fcc-relaxing-cat"></a>
<p>Things cats love:</p>
<ul>
<li>cat nip</li>
<li>laser pointers</li>
<li>lasagna</li>
</ul>
<p>Top 3 things cats hate:</p>
<ol>
<li>flea treatment</li>
<li>thunder</li>
<li>other cats</li>
</ol>
<form action="/submit">
</form>
<form action="/submit-cat-photo">
<input type="text" placeholder="cat photo URL">
</form>
@ leekirby6 gracias por el problema. ¿Puede dar más información sobre dónde vio esta notificación? Una captura de pantalla también puede ayudar si puede proporcionar una. No recibo ninguna notificación de Chrome cuando abro la página. ¡Gracias!
Oh, olvidé la captura de pantalla.
No pasa nada cuando uso Firefox.
Podría estar relacionado con Chrome Beta. Ver # 12655. Funciona bien para mí con Chrome estable. @ leekirby6 ¿Puedes probarlo con Chrome estable?
Gracias por confiar. Prefiero beta vesion que estable:
¡Usé firefox!
¿Es este error una indicación de que los campistas lo verán en una versión futura de Chrome? Si ese es el caso, probablemente deberíamos asegurarnos de que esto se solucione antes del lanzamiento.
Puedo reproducir esto con Chrome 57, tanto en la versión beta como en el sitio en vivo.
La versión donde se puede reproducir es 57.0.2987.88. Del blog de lanzamientos de Chrome , el 9 de marzo:
El equipo de Chrome se complace en anunciar la promoción de Chrome 57 al canal estable: 57.0.2987.98 para Windows, Mac y Linux. Esto se implementará en los próximos días / semanas.
El error:
El auditor XSS bloqueó el acceso a ' https://www.freecodecamp.com/challenges/add-a-submit-button-to-a-form# ? Solution = solution-here' porque el código fuente de un script se encontró dentro la solicitud. El auditor se habilitó porque el servidor no envió un encabezado 'X-XSS-Protection'.
Esto menciona que el error que estamos viendo es causado por la funcionalidad habilitada en Chrome 57.
La advertencia parece desencadenarse al tener un formulario en el iframe.
Aquí hay una publicación de StackOverflow con una sugerencia sobre cómo resolver esto.
Probé cómo Codepen maneja esto. Funciona bien allí. Algunas diferencias notables:
ALLOWALL
en Codepen, SAMEORIGIN
en fCC. Creo que es poco probable que esta sea la causa, pero puede estar relacionada.1; mode=block
en fCC, pero no está presente en Codepen. Creo que es por eso que funciona en Codepen pero no en fCC./ cc @ freeCodeCamp / moderators Esto parece que tiene el potencial de convertirse en un problema muy serio para nosotros, pero no estoy seguro. ¿Alguien puede ayudar a investigar?
@systimotic gracias por llamar la atención de todos. Sí, este es un problema grave. Si Google lanza esta actualización, romperá por completo nuestros desafíos. Así que tenemos que arreglar esto lo antes posible.
¿Ha podido hacer algún progreso en esto?
@BerkeleyTrue ¿ Es esto algo que podría arreglar e implementar en producción muy rápido, o tiene a alguien en mente para delegar esto?
El lunes 13 de marzo de 2017 a las 6:44 p.m., Quincy Larson [email protected]
escribió:
@systimotic https://github.com/systimotic gracias por traer esto a
la atención de todos. Sí, este es un problema grave. Si Google lanza
esta actualización romperá completamente nuestros desafíos. Entonces tenemos que arreglar
esto lo antes posible.¿Ha podido hacer algún progreso en esto?
@BerkeleyTrue https://github.com/BerkeleyTrue es algo que
podría arreglar e implementar en producción muy rápido, o tiene a alguien en
¿Me importa delegar esto?-
Recibes esto porque estás suscrito a este hilo.
Responda a este correo electrónico directamente, véalo en GitHub
https://github.com/freeCodeCamp/freeCodeCamp/issues/13727#issuecomment-286147082 ,
o silenciar el hilo
https://github.com/notifications/unsubscribe-auth/AX9USGhYYpx9VbE14GEjc5ELIWUePYCaks5rlWRggaJpZM4MS57P
.
Tengo una idea, levantaré un PR contra el respaldo / maestro si mi teoría funciona.
Si funciona, puedo implantarlo también para la estadificación.
Pero por favor, si alguien más tiene una idea, adelante y trabaje en ella
Esto parece un problema crítico
@QuincyLarson @systimotic @Bouncey Mirándolo, (según el enlace de @timo ) Chrome cambia el comportamiento predeterminado X-XSS-Protection: 1
a X-XSS-Protection: 1; mode=block
. Lo que hace es bloquear completamente una página para que no se ejecute cuando el código fuente de la página está dentro de la propia solicitud (es decir, código-url).
Antes, el comportamiento predeterminado de Chrome era filtrar las partes del script que se considerarían dañinas. Hemos solucionado esto codificando las partes específicas de las que Chrome se quejaría (acciones de formulario y demás) y luego las decodificamos antes de inyectarlas en el iframe.
Ahora el comportamiento predeterminado va a bloquear la página por completo. Esto es lo que está causando el problema (creo).
Descargué Chrome Canary y ~ no he podido replicar el problema (está en la versión 59) ~ Pude replicarlo agregando una etiqueta de script al código-uri.
Una solución puede ser tan simple como cambiar nuestro X-XSS-PROTECTION
a 1
;
No puedo replicar en beta, pero puedo en producción
Chrome 57 es ahora el 'estable de Chrome' para Ubuntu
No puedo reproducir localmente en copia de seguridad / maestro
intente publicar, a través del control del servidor, algo de código html y JavaScript en el servidor y verá el problema.
me pasó en Chrome versión 57.0.2987.110 (64 bits) Win10 64 bits
Hola a todos,
por favor ayúdame a entender esto mejor.
Soy Analista de Negocios en una empresa de Software. Experimentamos el problema de que después de la actualización 57.0.2987.98 de Chrome, aparece el error "Esta página no funciona. Chrome detectó un código inusual en esta página y lo bloqueó para proteger su información personal (por ejemplo, contraseñas, números de teléfono y tarjetas de crédito). . ERR_BLOCKED_BY_XSS_AUDITOR "- básicamente lo que estás discutiendo aquí.
Mis preguntas serían:
Tenemos varios clientes que sufren este error y debemos entender si debemos esperar a que se solucione Chrome o implementar la solución de nuestro lado.
@dimapct Este es el repositorio de FreeCodeCamp.com, no de Chrome. Dirija sus preguntas relacionadas con su software empresarial y Chrome al equipo de Chrome, no a nosotros.
@QuincyLarson
Configuración de Chrome> configuración avanzada> Proteger de sitios peligrosos> desactivado
funcionó para mí por un tiempo
Acabo de encontrarme con este informe de error. Me pregunto si mi experiencia podría arrojar algo de luz sobre esto.
Cuando escribo una publicación en los foros de Ubuntu , que es un sitio perfectamente genuino, Chrome con frecuencia, pero no siempre, me da este error cuando presiono "Vista previa de la publicación".
He intentado encontrar un patrón, pero parece completamente arbitrario; Puedo escribir algunas palabras, que Chrome acepta, y otras, que no, y no veo ninguna diferencia significativa entre ellas. Por ejemplo, a veces Chrome bloquea una publicación con comillas y otras veces no.
Utilizo Chrome 57 Stable (de los repositorios oficiales de Chrome) en Linux Ubuntu.
( Adoptaré la sugerencia de
Desafortunadamente, la solución propuesta por @QuincyLarson no funcionó para mí.
Sin embargo, hay más información, que espero sea de ayuda:
https://bugs.chromium.org/p/chromium/issues/detail?id=702542
https://bugs.chromium.org/p/chromium/issues/detail?id=706038
https://productforums.google.com/forum/#!msg/chrome/4MUJd75N4Jw/8uDOUMgrEQAJ
@paddylandau Gracias.
Parece que el problema se resuelve agregando explícitamente encabezados x-xss-protection a nuestro csp. ¿Alguien tiene algo de tiempo para probar esto?
El problema de agregar este encabezado es que significa reducir la seguridad, por el bien de Chrome. Eso me parece raro.
En realidad, si configuras el encabezado en 1, entonces solo mantendrás la seguridad igual y evitarás que Chrome v57 aumente la seguridad. La única diferencia real es que v57 bloquea ruidosamente algún código que v56 y otros navegadores han estado bloqueando silenciosamente hasta ahora.
Sigo experimentando este problema :(
Sigo experimentando este problema en "Crear un elemento de formulario".
Lo interesante con respecto a este problema es que cuando completa la lección en un navegador diferente y regresa a Chrome y "ve la solución" de esa lección, el código se lee sin errores y puede continuar con la siguiente lección. ¿Alguna idea?
El 10 de abril de 2017 a las 10:21 a. M., "Rogerio Penchel" [email protected]
escribió:
Sigo experimentando este problema :(
-
Recibes esto porque estás suscrito a este hilo.
Responda a este correo electrónico directamente, véalo en GitHub
https://github.com/freeCodeCamp/freeCodeCamp/issues/13727#issuecomment-293018041 ,
o silenciar el hilo
https://github.com/notifications/unsubscribe-auth/AV-9X3RBc4-MBzYNChdMp0_uZrywTADUks5rumUPgaJpZM4MS57P
.
Ejecuté esto en Firefox y no tuve problemas
@nvnellore Esto se aplica solo a Chromium y, por extensión, a Chrome. Ningún otro navegador da este problema.
He visto este ERR_BLOCKED_BY_XSS_AUDITOR cuando agrego contenido con un
Lo siento, debo aclarar ... tratando de actualizar el contenido de nuestro carrito de compras.
Una vez que esto está incluido
luego obtenemos el error ERR_BLOCKED_BY_XSS_AUDITOR.
Experimenté esto ahora mismo.
La solución de @udbhavs funcionó bien.
Cromo 57
Windows 10 - 64 bits
Versión de Chrome 57.0.2987.133 (64 bits)
Windows 8.1 Pro de 64 bits
@ssisaias : la solución alternativa (no una solución) de @udbhavs podría funcionar, ¡pero eso se debe a que rompe la seguridad deliberadamente! No es una solución alternativa razonable, y ciertamente no es apropiada para una computadora en el trabajo o cualquier computadora que tenga información confidencial.
El problema parece resolverse actualizando a la versión 58 (Versión 58.0.3029.81 beta (64 bits, en mi máquina). Recibí el mismo error y tuve que ingresar a los 3 puntos -> aproximadamente. Debajo de la versión había un botón Tuve que presionar para completar la actualización de v57 a v58. Tras el reinicio de Chrome, se resolvió el problema.
@willdanneriv Tienes suerte, quizás, porque la versión 58 no me lo ha resuelto. Sigo teniendo el error después de la actualización de hoy.
@paddylandau Quizás. ¿Estás en Beta o Estable?
@willdanneriv Estable. El que fue lanzado a mi máquina hoy.
Versión 58.0.3029.81 (64 bits)
Igual a los tuyos.
@paddylandau ¿
Solo cubriendo bases, lo siento, no te está funcionando.
@willdanneriv : uso Linux, no Windows, por lo que las actualizaciones se instalan automáticamente directamente desde el repositorio oficial de Google. Inicié Chrome solo después de que se completaron las actualizaciones; el número de versión que publiqué fue un cortar y pegar de "Acerca de Google Chrome" de Chrome.
Como experimento, me subí a una máquina con Windows 10 y probé allí, y tengo el mismo problema (Chrome completamente actualizado, por supuesto).
¿Quizás el foro en el que ha probado esto coincidentemente hoy agregó la solución descrita por @BerkeleyTrue arriba?
También estoy experimentando este problema en mi Mac con OS Sierra con Chrome 58.0.3029.81. Estoy un poco confundido sobre dónde publicar, ¡pero espero que esto funcione!
También estoy enfrentando el mismo problema en mac os.
Tuve el mismo problema ahora en Chrome, luego fui a Firefox para continuar, ya que Chrome me impedía progresar. Le aconsejo que si tiene otro navegador, haga lo mismo. Sin embargo, sigo pensando que debemos estar seguros de que nuestra información privada está segura aquí.
¿Alguien sigue experimentando esto en Chrome o Firefox? Acabo de actualizar a Chrome 58 y no puedo reproducir el problema allí, ni en el último Firefox.
Cuando tenga problemas, inicie sesión en otro navegador e intente lo mismo. Me enfrenté al problema en Chrome y luego lo intenté en Safari.
¿Alguien sigue experimentando esto en Chrome o Firefox?
Sí, puedo reproducir con Chrome 58 en el sitio web principal, pero el mismo desafío funciona bien en el sitio web beta.
Tal vez sea una pista para el progreso diferente a lo que Berkeley ya ha identificado.
Sin embargo, noté un problema. Dejé Chrome y continué en Firefox cuando
vi el mensaje de error, así que hice algunos ejercicios más en Firefox, pero en
el mapa de ese ejercicio en particular no estaba marcado como hecho. Simplemente apareció
como si se hubiera saltado.
Así que volví a Chrome ahora para hacerlo y el error se ha solucionado. Sin embargo, yo
no podía continuar desde donde me detuve en Firefox, actualicé la pestaña y
También cerré la pestaña y la volví a abrir, pero se me mostró el siguiente ejercicio
no es el ejercicio en el que estoy trabajando actualmente en Firefox.
Luego salí de mi cuenta en Chrome y volví a iniciar sesión y pude
para seleccionar el ejercicio que quiero hacer. Creo que el proceso se puede hacer
mejor, para que si actualizo mi pestaña me lleve al ejercicio que paré
a. gracias por su ayuda chicos.
El martes 25 de abril de 2017 a las 7:34 a.m., mrugesh mohapatra < Notifications@github.com
escribió:
¿Alguien sigue experimentando esto en Chrome o Firefox?
Sí, puedo reproducir con Chrome 58 en el sitio web principal, pero el mismo desafío
funciona bien en el sitio web beta.Tal vez sea una pista para el progreso que no sea lo que Berkeley ya tiene
identificado.-
Estás recibiendo esto porque comentaste.
Responda a este correo electrónico directamente, véalo en GitHub
https://github.com/freeCodeCamp/freeCodeCamp/issues/13727#issuecomment-296928274 ,
o silenciar el hilo
https://github.com/notifications/unsubscribe-auth/AZgA8UshOMmM5_yVN3POvedvIIVyoCL9ks5rzZPkgaJpZM4MS57P
.
Tobiloba Ogunlobiyi
+234 816 699 8393
www.linkedin.com/in/tobilobaogunlobiyi
@QuincyLarson : Sí, todavía tengo este problema en Chrome 58.
@ tobi10 - Una simple actualización simplemente recarga la página, pero no actualiza todo; todavía usa el caché. Para forzar una actualización completa e ignorar la caché, presione Ctrl
+ Shift
+ R
. Debería ahorrarle la molestia de cerrar sesión y volver a iniciarla.
@paddylandau - Tengo el mismo problema nuevamente, me quedé atascado en el primer ejercicio de jQuery y fui a Firefox para hacer el ejercicio y también hice 4 ejercicios más. Luego volví a Chrome para continuar. Actualicé usando ctrl + shift + R como sugirió y me desconecté y volví a iniciar sesión, pero muestra que estoy atascado en ese primer ejercicio. Se adjunta una captura de pantalla de la página.
@ tobi10 : supongo que tendrás que continuar en Firefox. Una molestia, lo sé, así que esperemos que Google solucione este error pronto.
Gracias @paddylandau
Consulte este comentario .
Creo firmemente que el comentario anterior analiza correctamente lo que está sucediendo aquí.
Lo más probable es que esto esté arreglado en staging
porque hemos detenido la ejecución automática del código en la página.
@willdanneriv - Gracias, su consejo funcionó para mí.
Estoy teniendo el mismo problema en ese desafío, pero estoy a punto de probarlo en Canary; que es la versión para desarrolladores de Google Chrome. Si funciona, publicaré otro mensaje aquí, y tal vez todos tengamos que cambiar.
Lo probé todo en Canary y pude terminar fácilmente sin errores ni problemas. Soy Windows 7 y tengo la versión actual de Google Chrome, por lo que no es solo un problema de Windows 10 o una versión anterior de Chrome.
Ustedes pueden conseguir Canary aquí, si quieren probarlo. https://www.google.com/chrome/browser/canary.html
También tengo esto en Vivaldi 1.8.770.56 (canal estable) (64 bits) en Arch Linux; también se basa en Chromium. Mismo lugar que @ tobi10
Tuve este problema en Chrome, pero según la sugerencia anterior de @paddylandau , hice una actualización completa y luego funcionó. (CMD + MAYÚS + R en Mac)
Emitir de nuevo
Hola, este es un problema conocido. Y estamos tratando de encontrar formas de solucionarlo.
En su lugar, use el (👍) en la publicación de apertura de este hilo.
Nos gustaría mantener este hilo solo para posibles soluciones.
Obteniendo el problema en Chrome versión 58.0.3029.96 (64 bits).
No aparece el problema en Firefox versión 53.0.2 (32 bits).
Intente no utilizar JavaScript.
Tuve los mismos problemas que resultaron que reemplazar JavaScript: void (0) con # resolvió mi problema.
Gracias.
El lunes 8 de mayo de 2017 a las 7:09 p.m., priyasjoshi Notifications@github.com
escribió:
Intente no utilizar JavaScript.
Tuve los mismos problemas que al reemplazar JavaScript: void (0) con #
resolvió mi problema.-
Estás recibiendo esto porque comentaste.
Responda a este correo electrónico directamente, véalo en GitHub
https://github.com/freeCodeCamp/freeCodeCamp/issues/13727#issuecomment-300032774 ,
o silenciar el hilo
https://github.com/notifications/unsubscribe-auth/AT1eCNOnLJ8N0nN5JHiBNCx-e4cFc42Cks5r37zDgaJpZM4MS57P
.
Por favor, tengan paciencia con nosotros mientras intentamos solucionar este problema.
de la conversación del equipo central de hoy:
Entonces creo que tendremos que replicar la lógica de la versión beta. Básicamente, separar la solución del uri al leer, deshabilitar la ejecución automática y agregar bloqueo de código
Algún código utilizado en producción para eliminar y bloquear el código uri (solución en uri)
https://github.com/freeCodeCamp/freeCodeCamp/blob/staging/client/sagas/code-storage-saga.js#L98
Las utilidades solían hacer esto:
obtener el código de la uri:
https://github.com/freeCodeCamp/freeCodeCamp/blob/staging/client/utils/code-uri.js#L52
eliminar código uri:
https://github.com/freeCodeCamp/freeCodeCamp/blob/staging/client/utils/code-uri.js#L66
Aquí en la épica que maneja la construcción de los archivos antes de que vayan al iframe es donde verificamos si el código se ejecutará automáticamente
https://github.com/freeCodeCamp/freeCodeCamp/blob/staging/client/sagas/build-challenge-epic.js#L24
Aquí bloqueamos el botón de ejecución en la vista clásica y mostramos un botón de desbloqueo
nota: tengo un refactor importante en proceso que romperá todos estos enlaces. Los actualizaré en un comentario separado cuando ese RP se fusione en
Gracias @BerkeleyTrue , voy a
@raisedadead increíble, gracias por tu ayuda. Manténganos informados y háganos saber si necesita alguna copia de seguridad.
El martes pasado, @raisedadead y yo
Este problema _no_ se puede reproducir en la versión beta de freeCodeCamp, en cualquier navegador, con cualquier código.
Usando el código compartido en el informe inicial, este problema _es_ reproducible en Chrome 57 y Chrome 58 (actual), pero _no_ en Chrome 59 (Chrome Beta) o Chrome 60 (Chrome Canary).
En esta línea , habilitamos el complemento helmet xxsFilter. Establece el encabezado X-XXS-Protection
en 1; mode=block
. Ha estado ahí por dos años.
Veamos el error nuevamente:
El auditor XSS bloqueó el acceso a ' https://www.freecodecamp.com/challenges/add-a-submit-button-to-a-form# ? Solution = solution-here' porque el código fuente de un script se encontró dentro la solicitud. El auditor se habilitó porque el servidor no envió un encabezado 'X-XSS-Protection'.
Esto me confunde. Siempre hemos enviado este encabezado, definitivamente está allí en la respuesta, pero todavía dice que no está allí. Mi mejor suposición de por qué sucede esto: el encabezado se envía para la página /add-a-submit-button-to-a-form
. El problema ocurre en el /add-a-submit-button-to-a-form#?solution=solution-here
, que de alguna manera considera diferente. Creo que esto puede ser un error en Chrome.
En Chrome 57, no se cambió ningún encabezado presente por defecto a 1; mode=block
, y 1
también se manejaría como 1; mode=block
[fuente] . Es por eso que comenzamos a notar este problema desde esa versión. Todavía no he descubierto la fuente de este problema que ya no está presente en Chrome 59. No estoy seguro de si solo han solucionado nuestro problema específico o si han revertido el cambio de la versión 57.
Aquí hay un breve resumen de lo que hace el auditor XSS (o al menos, cómo lo entiendo): mira la URL y el código fuente de la página. Si encuentra un script (o algo que parezca malicioso) en la URL que también encuentra en el HTML, bloqueará la página. [fuente 1] [fuente 2] [fuente 3]
La solución adecuada y más fácil debería ser establecer el encabezado X-XXS-Protection
en 0
. Sin embargo, intentamos esto, ya que este encabezado no se recoge (no entiendo por qué), esto no funciona. La solución alternativa que se ha sugerido ahora sería eliminar el código de la URL, para que la URL ya no influya en la página y el auditor de XSS no se asuste. Creo que será complicado hacer que esto funcione dentro de la versión de producción, pero creo que debería resolver el problema. Creo que esto es en lo que está trabajando @raisedadead .
Gracias por la información y el excelente resumen de lo que depuramos el otro día. Sí, es un poco complicado en el sitio de producción, lo actualizaré lo antes posible.
Agregar este "--disable-xss-auditor" al campo de destino del acceso directo de Chrome lo hizo funcionar para mí.
No funcionó en Chrome o Firefox (54.0b12) para mí. Tuve que recurrir al uso de IE.
Esto se ha solucionado tanto en la versión beta como en el sitio web principal.
¡Feliz codificación!
Comentario más útil
Puedo reproducir esto con Chrome 57, tanto en la versión beta como en el sitio en vivo.
La versión donde se puede reproducir es 57.0.2987.88. Del blog de lanzamientos de Chrome , el 9 de marzo:
El error:
Esto menciona que el error que estamos viendo es causado por la funcionalidad habilitada en Chrome 57.
La advertencia parece desencadenarse al tener un formulario en el iframe.
Aquí hay una publicación de StackOverflow con una sugerencia sobre cómo resolver esto.
Probé cómo Codepen maneja esto. Funciona bien allí. Algunas diferencias notables:
ALLOWALL
en Codepen,SAMEORIGIN
en fCC. Creo que es poco probable que esta sea la causa, pero puede estar relacionada.1; mode=block
en fCC, pero no está presente en Codepen. Creo que es por eso que funciona en Codepen pero no en fCC./ cc @ freeCodeCamp / moderators Esto parece que tiene el potencial de convertirse en un problema muy serio para nosotros, pero no estoy seguro. ¿Alguien puede ayudar a investigar?