Freecodecamp: Chrome affiche un message d'erreur dans l'iframe - Code inhabituel détecté
Mettre à jour
Veuillez utiliser Firefox pendant que nous proposons un correctif. Mes excuses pour le derangement.
Le défi Ajouter un bouton d'envoi à un formulaire a un problème.
L'agent utilisateur est: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) <strong i="11">Chrome/57.0.2987.88</strong> Safari/537.36 .
_Description éditée par @systimotic pour clarification_
Un avertissement s'affiche dans le cadre du téléphone. Il dit: "Chrome a détecté un code inhabituel sur cette page et l'a bloqué pour protéger vos informations personnelles (par exemple, mots de passe, numéros de téléphone et cartes de crédit)."
Code:
<link href="https://fonts.googleapis.com/css?family=Lobster" rel="stylesheet" type="text/css">
<style>
.red-text {
color: red;
}
h2 {
font-family: Lobster, Monospace;
}
p {
font-size: 16px;
font-family: Monospace;
}
.thick-green-border {
border-color: green;
border-width: 10px;
border-style: solid;
border-radius: 50%;
}
.smaller-image {
width: 100px;
}
</style>
<h2 class="red-text">CatPhotoApp</h2>
<p>Click here for <a href="#">cat photos</a>.</p>
<a href="#"><img class="smaller-image thick-green-border" alt="A cute orange cat lying on its back. " src="https://bit.ly/fcc-relaxing-cat"></a>
<p>Things cats love:</p>
<ul>
<li>cat nip</li>
<li>laser pointers</li>
<li>lasagna</li>
</ul>
<p>Top 3 things cats hate:</p>
<ol>
<li>flea treatment</li>
<li>thunder</li>
<li>other cats</li>
</ol>
<form action="/submit">
</form>
<form action="/submit-cat-photo">
<input type="text" placeholder="cat photo URL">
</form>
natuan62
Tous les 72 commentaires
@ leekirby6 merci pour le problème. Pouvez-vous donner plus d'informations sur l'endroit où vous avez vu cette notification? Une capture d'écran peut également être utile si vous êtes en mesure d'en fournir une. Je ne reçois aucune notification de Chrome lorsque j'ouvre la page. Merci!
erictleung
le 4 mars 2017
Oh, j'ai oublié la capture d'écran.
Rien ne se passe lorsque j'utilise Firefox.
natuan62
le 4 mars 2017
Cela pourrait être lié à Chrome Beta. Voir # 12655. Cela fonctionne bien pour moi avec Chrome stable. @ leekirby6 Pouvez-vous l'essayer avec Chrome stable?
szib
le 4 mars 2017
Merci pour votre confiance. Je préfère la version bêta à la version stable:
J'ai utilisé Firefox!
natuan62
le 4 mars 2017
Cette erreur indique-t-elle que les campeurs verront cela dans une future version de Chrome? Si tel est le cas, nous devrions probablement nous assurer que cela est corrigé avant la publication.
systimotic
le 5 mars 2017
Je peux reproduire cela avec Chrome 57, à la fois sur la version bêta et sur le site en direct.
La version où cela peut être reproduit est 57.0.2987.88. Sur le blog des versions de Chrome , le 9 mars:
L'équipe Chrome est ravie d'annoncer la promotion de Chrome 57 sur le canal stable - 57.0.2987.98 pour Windows, Mac et Linux. Cela se déroulera au cours des prochains jours / semaines.
L'erreur:
L'auditeur XSS a bloqué l'accès à ' https://www.freecodecamp.com/challenges/add-a-submit-button-to-a-form# ? Solution = solution-here' car le code source d'un script a été trouvé dans la demande. L'auditeur a été activé car le serveur n'a pas envoyé d'en-tête «X-XSS-Protection».
Cela mentionne que l'erreur que nous voyons est en effet causée par une fonctionnalité activée dans Chrome 57.
L'avertissement semble être déclenché par un formulaire dans l'iframe.
Voici un article de StackOverflow avec une suggestion sur la façon de résoudre ce problème.
J'ai testé comment Codepen gère cela. Cela fonctionne bien là-bas. Quelques différences notables:
- X-Frame-Options est
ALLOWALLsur Codepen,SAMEORIGINsur fCC. Je pense qu'il est peu probable que ce soit la cause, mais cela peut être lié. - X-XSS-Protection est
1; mode=blocksur fCC, mais pas présent sur Codepen. Je pense que c'est pourquoi cela fonctionne sur Codepen mais pas sur fCC.
/ cc @ freeCodeCamp / moderators Cela semble avoir le potentiel de devenir un problème très sérieux pour nous, mais je ne suis pas certain. Quelqu'un peut-il aider à enquêter?
systimotic
le 12 mars 2017
@systimotic merci d'avoir porté cela à l'attention de tous. Oui, c'est un problème grave. Si Google déploie cette mise à jour, cela brisera complètement nos défis. Nous devons donc résoudre ce problème dès que possible.
Avez-vous pu faire des progrès à ce sujet?
@BerkeleyTrue est-ce quelque chose que vous pourriez corriger et déployer en production très rapidement, ou avez-vous quelqu'un en tête pour déléguer cela?
QuincyLarson
le 13 mars 2017
Le lun 13 mars 2017 à 18:44, Quincy Larson [email protected]
a écrit:
@systimotic https://github.com/systimotic merci d'avoir apporté cela à
l'attention de tous. Oui, c'est un problème grave. Si Google se déploie
cette mise à jour, cela brisera complètement nos défis. Nous devons donc réparer
ce ASAP.Avez-vous pu faire des progrès à ce sujet?
@BerkeleyTrue https://github.com/BerkeleyTrue est-ce quelque chose que vous
pourrait réparer et déployer en production très rapidement, ou avez-vous quelqu'un
l'esprit de déléguer cela?-
Vous recevez ceci parce que vous êtes abonné à ce fil.
Répondez directement à cet e-mail, affichez-le sur GitHub
https://github.com/freeCodeCamp/freeCodeCamp/issues/13727#issuecomment-286147082 ,
ou couper le fil
https://github.com/notifications/unsubscribe-auth/AX9USGhYYpx9VbE14GEjc5ELIWUePYCaks5rlWRggaJpZM4MS57P
.
iansibindi
le 13 mars 2017
J'ai une idée, je vais soulever un PR contre sauvegarde / maître si ma théorie fonctionne.
Si cela fonctionne, je peux également l'implémenter pour la mise en scène
Bouncey
le 13 mars 2017
Mais s'il vous plaît, si quelqu'un d'autre a une idée, allez-y et travaillez-y
Cela semble être un problème critique
Bouncey
le 13 mars 2017
@QuincyLarson @systimotic @Bouncey En lien de X-XSS-Protection: 1 en X-XSS-Protection: 1; mode=block . Cela empêche complètement une page de s'exécuter lorsque le code source de la page se trouve dans la requête elle-même (par exemple, code-url).
Avant, le comportement par défaut des chromes était de filtrer les parties du script qui seraient considérées comme nuisibles. Nous avons contourné cela en encodant les parties spécifiques dont Chrome se plaindrait (actions de formulaire et autres), puis en les décodant avant de les injecter dans l'iframe.
Maintenant, le comportement par défaut va bloquer complètement la page. C'est ce qui cause le problème (je crois).
J'ai téléchargé Chrome Canary et ~ je n'ai pas été en mesure de répliquer le problème (il s'agit de la version 59) ~ J'ai pu le répliquer en ajoutant une balise de script au code-uri.
BerkeleyTrue
le 13 mars 2017
Un correctif peut être aussi simple que de changer notre X-XSS-PROTECTION en 1 ;
BerkeleyTrue
le 13 mars 2017
Je ne peux pas répliquer en version bêta, mais je le peux en production
Chrome 57 est désormais le `` chrome stable '' pour Ubuntu
Bouncey
le 13 mars 2017
Je ne peux pas reproduire localement sur sauvegarde / maître
Bouncey
le 13 mars 2017
essayez de renvoyer, via le contrôle du serveur, du code html et JavaScript sur le serveur et vous verrez le problème.
1cm
le 16 mars 2017
m'est arrivé sur Chrome Version 57.0.2987.110 (64 bits) Win10 64bit
driftshift
le 20 mars 2017
Bonjour à tous,
s'il vous plaît, aidez-moi à mieux comprendre cela.
Je suis Business Analyst dans une société de logiciels. Nous rencontrons le problème suivant: après la mise à jour 57.0.2987.98 de Chrome, nous obtenons l'erreur "Cette page ne fonctionne pas. Chrome a détecté un code inhabituel sur cette page et l'a bloqué pour protéger vos informations personnelles (par exemple, mots de passe, numéros de téléphone et cartes de crédit). . ERR_BLOCKED_BY_XSS_AUDITOR "- essentiellement de quoi vous parlez ici.
Mes questions seraient:
- Est-ce un bug ou une fonctionnalité?
- s'il s'agit d'un bogue - où pourrais-je obtenir les informations sur le moment où il sera corrigé?
Nous avons un certain nombre de clients qui souffrent de cette erreur et nous devons comprendre si nous devons attendre le correctif Chrome ou le mettre en œuvre de notre côté.
dimapct
le 21 mars 2017
@dimapct C'est le référentiel pour FreeCodeCamp.com pas pour Chrome. Veuillez adresser vos questions relatives à votre logiciel professionnel et à Chrome à l'équipe Chrome, et non à nous.
BerkeleyTrue
le 21 mars 2017
@QuincyLarson
Paramètres de Chrome> Paramètres avancés> Protéger contre les sites dangereux> désactivé
travaillé pour moi pendant un moment
udbhavs
le 22 mars 2017
Je viens de tomber sur ce rapport de bogue. Je me demande si mon expérience pourrait éclairer ce sujet.
Lorsque j'écris un message sur les forums Ubuntu - qui est un site parfaitement authentique - Chrome me donne fréquemment, mais pas toujours, cette erreur lorsque j'appuie sur "Aperçu de l'article".
J'ai essayé de trouver un modèle, mais il semble entièrement arbitraire; Je peux taper des mots, ce que Chrome accepte, et d'autres mots, ce qui n'est pas le cas, et je ne vois aucune différence significative entre eux. Par exemple, Chrome bloque parfois une publication avec des guillemets, et parfois non.
J'utilise Chrome 57 Stable (à partir des dépôts officiels de Chrome) sur Linux Ubuntu.
( J'adopterai la suggestion de
paddylandau
le 27 mars 2017
Malheureusement, la solution proposée par @QuincyLarson n'a pas fonctionné pour moi.
Cependant, il y a d'autres informations qui, je l'espère, vous seront utiles:
https://bugs.chromium.org/p/chromium/issues/detail?id=702542
https://bugs.chromium.org/p/chromium/issues/detail?id=706038
https://productforums.google.com/forum/#!msg/chrome/4MUJd75N4Jw/8uDOUMgrEQAJ
paddylandau
le 4 avr. 2017
@paddylandau Merci.
Il semble que le problème soit résolu en ajoutant explicitement des en-têtes x-xss-protection à notre csp. Quelqu'un a-t-il le temps de tester cela?
BerkeleyTrue
le 4 avr. 2017
Le problème avec l'ajout de cet en-tête est que cela signifie réduire la sécurité, pour le bien de Chrome. Cela me semble bizarre.
paddylandau
le 5 avr. 2017
En fait, si vous définissez l'en-tête sur 1, vous gardez simplement la même sécurité et empêchez Chrome v57 d'augmenter la sécurité. La seule vraie différence est que la v57 bloque bruyamment du code que v56 et d'autres navigateurs bloquent silencieusement jusqu'à présent.
darkporpoise
le 5 avr. 2017
Je rencontre toujours ce problème :(
nvnellore
le 7 avr. 2017
Je rencontre toujours ce problème sur "Créer un élément de formulaire".
Rogerup
le 10 avr. 2017
La chose intéressante concernant ce problème est que lorsque vous terminez la leçon sur un autre navigateur et que vous revenez à Chrome et que vous «visualisez la solution» de cette leçon, le code se lit sans erreur et vous pouvez continuer avec la leçon suivante. Des pensées?
UnwrittenCanvas
le 11 avr. 2017
Le 10 avril 2017 à 10 h 21, "Rogerio Penchel" [email protected]
a écrit:
Je rencontre toujours ce problème :(
-
Vous recevez ceci parce que vous êtes abonné à ce fil.
Répondez directement à cet e-mail, affichez-le sur GitHub
https://github.com/freeCodeCamp/freeCodeCamp/issues/13727#issuecomment-293018041 ,
ou couper le fil
https://github.com/notifications/unsubscribe-auth/AV-9X3RBc4-MBzYNChdMp0_uZrywTADUks5rumUPgaJpZM4MS57P
.
Lurches
le 11 avr. 2017
J'ai couru ceci dans Firefox et je n'ai eu aucun problème
nvnellore
le 11 avr. 2017
@nvnellore Ceci s'applique uniquement à Chromium et, par extension, à Chrome. Aucun autre navigateur ne pose ce problème.
paddylandau
le 11 avr. 2017
J'ai vu ce ERR_BLOCKED_BY_XSS_AUDITOR lorsque j'ajoute du contenu avec un
mcgargle
le 12 avr. 2017
Désolé - devrait clarifier ... essayer de simplement mettre à jour le contenu de notre panier.
Une fois que cela est inclus
nous obtenons alors l'erreur ERR_BLOCKED_BY_XSS_AUDITOR.
mcgargle
le 12 avr. 2017
Expérimenté cela maintenant.
La solution de @udbhavs fonctionnait très bien.
Chrome 57
Windows 10 - 64 bits
ssisaias
le 15 avr. 2017
Version de Chrome 57.0.2987.133 (64 bits)
Windows 8.1 Professionnel 64 bits
freakshowtm
le 19 avr. 2017
@ssisaias - La solution de contournement (pas une solution) de @udbhavs peut fonctionner, mais c'est parce qu'elle brise délibérément la sécurité! Ce n'est pas une solution de contournement raisonnable, et certainement pas appropriée pour un ordinateur de travail ou en fait tout ordinateur qui détient des informations confidentielles.
paddylandau
le 19 avr. 2017
Le problème semble être résolu en passant à la version 58 (version 58.0.3029.81 beta (64bit, sur ma machine). J'obtenais la même erreur et devais entrer dans les 3 points -> environ. Sous la version se trouvait un bouton J'ai dû appuyer pour terminer la mise à jour de la version 57 à la version 58. Lors de la relance de Chrome, le problème a été résolu.
willdanneriv
le 19 avr. 2017
@willdanneriv Vous avez peut-être de la chance, car la version 58 ne l'a pas résolu pour moi. Je reçois toujours le bogue après la mise à jour d'aujourd'hui.
paddylandau
le 20 avr. 2017
@paddylandau Peut-être. Êtes-vous en version bêta ou stable?
willdanneriv
le 20 avr. 2017
@willdanneriv Stable. Celui qui est sorti sur ma machine aujourd'hui.
Version 58.0.3029.81 (64 bits)
Identique au vôtre.
paddylandau
le 20 avr. 2017
@paddylandau Avez-vous suivi le processus que j'ai suivi et relancé?
Couvrir juste les bases, désolé cela ne fonctionne pas pour vous.
willdanneriv
le 20 avr. 2017
@willdanneriv - J'utilise Linux, pas Windows, donc les mises à jour sont automatiquement installées directement à partir du référentiel officiel de Google. J'ai démarré Chrome uniquement une fois les mises à jour terminées; le numéro de version que j'ai publié était un copier-coller de "À propos de Google Chrome" de Chrome.
À titre expérimental, j'ai sauté sur une machine Windows 10 et essayé là-bas, et j'ai le même problème (Chrome entièrement mis à jour, bien sûr).
Peut-être que le forum où vous avez essayé cela par hasard aujourd'hui a ajouté la solution décrite par @BerkeleyTrue ci-dessus?
paddylandau
le 20 avr. 2017
Je rencontre également ce problème sur mon Mac exécutant OS Sierra avec Chrome 58.0.3029.81. Je ne sais pas trop où publier, mais j'espère que cela fonctionnera!
savemeaspark
le 22 avr. 2017
Suis également confronté au même problème sous mac OS.
MuruganPushparaj
le 24 avr. 2017
J'ai eu le même problème maintenant sur Chrome, puis je suis allé sur Firefox pour continuer, car Chrome m'empêchait de progresser. Je vous conseille si vous avez un autre navigateur, faites de même. Cependant, je pense toujours que nous devons être assurés que nos informations privées sont en sécurité ici
tobi10
le 24 avr. 2017
Quelqu'un rencontre-t-il toujours cela dans Chrome ou Firefox? Je viens de mettre à jour vers Chrome 58 et je ne peux pas reproduire le problème là-bas, ni dans le dernier Firefox.
QuincyLarson
le 25 avr. 2017
Lorsque vous rencontrez un problème, connectez-vous à un autre navigateur et essayez de même. J'ai rencontré le problème dans Chrome, puis j'ai essayé dans Safari, je viens de le faire.
MuruganPushparaj
le 25 avr. 2017
Quelqu'un rencontre-t-il toujours cela dans Chrome ou Firefox?
Oui, je peux reproduire avec Chrome 58 sur le site Web principal, mais le même défi fonctionne bien dans le site Web bêta.
C'est peut-être une piste de progrès autre que ce que Berkeley a déjà identifié.
raisedadead
le 25 avr. 2017
J'ai remarqué un problème cependant. J'ai quitté Chrome et j'ai continué sur Firefox quand j'ai
vu le message d'erreur, j'ai donc fait quelques exercices supplémentaires sur Firefox, mais sur
la carte cet exercice particulier n'a pas été cochée comme terminée. Il est juste apparu
comme s'il avait été sauté.
Je suis donc retourné à Chrome maintenant pour le faire et le bogue a été corrigé. Cependant, je
je n'ai pas pu continuer là où je me suis arrêté sur Firefox, j'ai actualisé l'onglet et
J'ai également fermé l'onglet et l'ai rouvert, mais on m'a montré l'exercice suivant
pas l'exercice que je travaille actuellement sur Firefox.
Je me suis ensuite déconnecté de mon compte sur Chrome, puis je me suis reconnecté et j'ai pu
pour sélectionner l'exercice que je veux faire. Je pense que le processus peut être fait
mieux, pour que si je rafraîchis mon onglet, cela m'amène à l'exercice que j'ai arrêté
à. Merci pour votre aide les gars.
Le mar 25 avril 2017 à 07:34, mrugesh mohapatra < notifications@github.com
a écrit:
Quelqu'un rencontre-t-il toujours cela dans Chrome ou Firefox?
Oui, je peux reproduire avec Chrome 58 sur le site principal mais même défi
fonctionne bien dans le site Web bêta.C'est peut-être une piste de progrès autre que ce que Berkeley a déjà
identifié.-
Vous recevez ceci parce que vous avez commenté.
Répondez directement à cet e-mail, affichez-le sur GitHub
https://github.com/freeCodeCamp/freeCodeCamp/issues/13727#issuecomment-296928274 ,
ou couper le fil
https://github.com/notifications/unsubscribe-auth/AZgA8UshOMmM5_yVN3POvedvIIVyoCL9ks5rzZPkgaJpZM4MS57P
.
-
Tobiloba Ogunlobiyi
+234 816 699 8393
www.linkedin.com/in/tobilobaogunlobiyi
tobi10
le 25 avr. 2017
@QuincyLarson - Oui, j'ai toujours ce problème sur Chrome 58.
@ tobi10 - Une simple actualisation recharge simplement la page, mais ne rafraîchit pas tout; il utilise toujours le cache. Pour forcer une actualisation complète et ignorer le cache, appuyez sur Ctrl + Shift + R . Cela devrait vous éviter d'avoir à vous déconnecter et à vous reconnecter.
paddylandau
le 25 avr. 2017
@paddylandau - J'ai à nouveau le même problème, je suis resté bloqué au premier exercice jQuery et je suis allé sur Firefox pour faire l'exercice et j'ai également fait 4 autres exercices. Je suis ensuite revenu sur Chrome pour continuer. J'ai actualisé en utilisant ctrl + shift + R comme vous l'avez suggéré et je me suis déconnecté et reconnecté, mais cela montre que je suis bloqué sur ce premier exercice. Ci-joint une capture d'écran de la page
tobi10
le 27 avr. 2017
@ tobi10 - Je suppose que vous devrez continuer sur Firefox. Une nuisance, je sais, alors espérons que Google corrigera bientôt ce bug.
paddylandau
le 27 avr. 2017
Merci @paddylandau
tobi10
le 28 avr. 2017
Veuillez vous référer à ce commentaire .
Je crois fermement que le commentaire ci-dessus analyse correctement ce qui se passe ici.
Ceci est probablement résolu dans le staging car nous avons arrêté l'exécution automatique du code sur la page.
raisedadead
le 28 avr. 2017
@willdanneriv - Merci, vos conseils ont fonctionné pour moi.
astoroid
le 3 mai 2017
J'ai le même problème avec ce défi, mais je suis sur le point de l'essayer à Canary; qui est la version développeur de Google Chrome. Si cela fonctionne, je posterai un autre message ici, et peut-être que nous devrons tous simplement basculer.
J'ai tout essayé à Canary et j'ai pu terminer facilement sans aucune erreur ni problème. Je suis Windows 7 et j'ai la version actuelle de Google Chrome, donc ce n'est pas seulement un problème avec Windows 10 ou une ancienne version de Chrome.
Vous pouvez obtenir Canary ici, si vous voulez l'essayer à la place. https://www.google.com/chrome/browser/canary.html
SenaminBun
le 3 mai 2017
J'ai aussi ceci sur Vivaldi 1.8.770.56 (canal stable) (64 bits) sur Arch Linux - il est également basé sur Chromium. Même endroit que @ tobi10
opalepatrick
le 3 mai 2017
J'ai eu ce problème sur Chrome, mais selon la suggestion de @paddylandau ci-dessus, j'ai fait une mise à jour difficile, puis cela a fonctionné. (CMD + SHIFT + R sur Mac)
frankmullen
le 4 mai 2017
Problème à nouveau
SellersC
le 4 mai 2017
Salut, c'est un problème connu. Et nous essayons de trouver des moyens de résoudre ce problème.
Veuillez NE PAS commenter ce fil confirmant le problème (car il n'est plus nécessaire).
Veuillez utiliser le (👍) sur le message d'ouverture de ce fil à la place.
Nous souhaitons conserver ce fil uniquement pour les solutions potentielles.
raisedadead
le 5 mai 2017
Obtenir le problème dans la version 58.0.3029.96 de Chrome (64 bits).
Ne pas obtenir le problème dans Firefox version 53.0.2 (32 bits).
Jason-Prince
le 9 mai 2017
Essayez de ne pas utiliser JavaScript.
J'ai eu les mêmes problèmes que le remplacement de JavaScript: void (0) par # a résolu mon problème.
priyasjoshi
le 9 mai 2017
Je vous remercie.
Le lundi 8 mai 2017 à 19h09, priyasjoshi notifications@github.com
a écrit:
Essayez de ne pas utiliser JavaScript.
J'ai eu les mêmes problèmes que le remplacement de JavaScript: void (0) par #
résolu mon problème.-
Vous recevez ceci parce que vous avez commenté.
Répondez directement à cet e-mail, affichez-le sur GitHub
https://github.com/freeCodeCamp/freeCodeCamp/issues/13727#issuecomment-300032774 ,
ou couper le fil
https://github.com/notifications/unsubscribe-auth/AT1eCNOnLJ8N0nN5JHiBNCx-e4cFc42Cks5r37zDgaJpZM4MS57P
.
Jason-Prince
le 9 mai 2017
La solution actuelle consiste à utiliser Firefox au lieu de Chrome.
Veuillez patienter pendant que nous essayons de résoudre ce problème.
raisedadead
le 17 mai 2017
de la conversation de l'équipe principale aujourd'hui:
Je pense donc que nous devrons peut-être reproduire la logique de la version bêta. Principalement, séparer la solution de l'URI lors de la lecture, désactiver l'exécution automatique et ajouter le verrouillage de code
BerkeleyTrue
le 23 mai 2017
Un peu de code utilisé en production pour supprimer et verrouiller le code uri (solution dans uri)
https://github.com/freeCodeCamp/freeCodeCamp/blob/staging/client/sagas/code-storage-saga.js#L98
Les utils utilisés pour faire ceci:
récupérez le code de l'URI:
https://github.com/freeCodeCamp/freeCodeCamp/blob/staging/client/utils/code-uri.js#L52
supprimer le code uri:
https://github.com/freeCodeCamp/freeCodeCamp/blob/staging/client/utils/code-uri.js#L66
Ici, dans l'épopée qui gère la construction des fichiers avant qu'ils ne passent à l'iframe, nous vérifions si le code s'exécutera automatiquement
https://github.com/freeCodeCamp/freeCodeCamp/blob/staging/client/sagas/build-challenge-epic.js#L24
Ici, nous verrouillons le bouton d'exécution dans la vue classique et affichons un bouton de déverrouillage
note: j'ai un refactor majeur dans les travaux qui va rompre tous ces liens. Je les mettrai à jour dans un commentaire séparé lorsque ce PR sera fusionné dans
BerkeleyTrue
le 23 mai 2017
Merci @BerkeleyTrue , essayer ce soir.
raisedadead
le 24 mai 2017
@raisedadead awesome - merci pour votre aide. Veuillez nous tenir au courant et nous faire savoir si vous avez besoin d'une sauvegarde.
QuincyLarson
le 25 mai 2017
Mardi dernier, @raisedadead et moi avons examiné cette question. Je partage nos découvertes ici, complétées par des choses que j'ai trouvées par la suite par moi-même. J'espère que cela vous expliquera pourquoi nous pensons que c'est le moyen de résoudre ce problème.
Ce problème n'est _pas_ reproductible sur la version bêta de freeCodeCamp, dans n'importe quel navigateur, avec n'importe quel code.
En utilisant le code partagé dans le rapport initial, ce problème est _est_ reproductible dans Chrome 57 et Chrome 58 (actuel), mais _pas_ dans Chrome 59 (Chrome Beta) ou Chrome 60 (Chrome Canary).
Sur cette ligne , nous activons le plugin casque xxsFilter. Il définit l'en-tête X-XXS-Protection sur 1; mode=block . Il existe depuis deux ans.
Regardons à nouveau l'erreur:
L'auditeur XSS a bloqué l'accès à ' https://www.freecodecamp.com/challenges/add-a-submit-button-to-a-form# ? Solution = solution-here' car le code source d'un script a été trouvé dans la demande. L'auditeur a été activé car le serveur n'a pas envoyé d'en-tête «X-XSS-Protection».
Cela me trouble. Nous avons toujours envoyé cet en-tête, il est certainement là dans la réponse, mais il dit toujours que ce n'est pas là. Ma meilleure estimation pour expliquer pourquoi cela se produit: l'en-tête est envoyé pour la page /add-a-submit-button-to-a-form . Le problème se produit sur le /add-a-submit-button-to-a-form#?solution=solution-here , qu'il considère différent, d'une manière ou d'une autre. Je pense que cela peut être un bogue dans Chrome.
Dans Chrome 57, aucun en-tête présent n'a été modifié par défaut sur 1; mode=block , et 1 serait également traité comme 1; mode=block [source] . C'est pourquoi nous avons commencé à remarquer ce problème à partir de cette version. Je n'ai pas encore découvert la source de ce problème qui n'est plus présente à partir de Chrome 59. Je ne sais pas s'ils ont seulement résolu notre problème spécifique ou s'ils ont annulé leur modification de la version 57.
Voici un bref résumé de ce que fait l'auditeur XSS (ou du moins, comment je le comprends): il regarde l'URL et le code source de la page. S'il trouve un script (ou quelque chose d'autre qui semble malveillant) dans l'URL qu'il trouve également dans le HTML, il bloquera la page. [source 1] [source 2] [source 3]
La solution appropriée et la plus simple devrait être de définir l'en-tête X-XXS-Protection sur 0 . Nous avons essayé cela, cependant, comme cet en-tête n'est pas repris (je ne comprends pas pourquoi), cela ne fonctionne pas. La solution alternative qui a été suggérée maintenant serait de supprimer le code de l'URL, afin que l'URL n'influence plus la page et que l'auditeur XSS ne panique pas. Je pense qu'il sera difficile de faire fonctionner cela dans la version de production, mais je pense que cela devrait résoudre le problème. Je pense que c'est ce sur quoi
systimotic
le 26 mai 2017
Merci pour la perspicacité et l'excellent résumé de ce que nous avons débogué l'autre jour. Oui, c'est un peu délicat sur le site de production, je vais mettre à jour au plus vite.
raisedadead
le 26 mai 2017
L'ajout de ce "--disable-xss-auditor" au champ cible du raccourci chrome a fait fonctionner cela pour moi.
Barryzachoppa
le 28 mai 2017
Cela n'a pas fonctionné sur Chrome ou Firefox (54.0b12) pour moi. J'ai dû recourir à l'utilisation d'IE.
accidentalpurpose
le 2 juin 2017
Ce problème a été corrigé à la fois en version bêta et sur le site Web principal.
Bon codage!
raisedadead
le 10 juin 2017
Questions connexes
itsmikewest
·
3Commentaires
kokushozero
·
3Commentaires
Tzahile
·
3Commentaires
ROWn1ne
·
3Commentaires
trashtalka3000
·
3Commentaires
Commentaire le plus utile
Je peux reproduire cela avec Chrome 57, à la fois sur la version bêta et sur le site en direct.
La version où cela peut être reproduit est 57.0.2987.88. Sur le blog des versions de Chrome , le 9 mars:
L'erreur:
Cela mentionne que l'erreur que nous voyons est en effet causée par une fonctionnalité activée dans Chrome 57.
L'avertissement semble être déclenché par un formulaire dans l'iframe.
Voici un article de StackOverflow avec une suggestion sur la façon de résoudre ce problème.
J'ai testé comment Codepen gère cela. Cela fonctionne bien là-bas. Quelques différences notables:
ALLOWALLsur Codepen,SAMEORIGINsur fCC. Je pense qu'il est peu probable que ce soit la cause, mais cela peut être lié.1; mode=blocksur fCC, mais pas présent sur Codepen. Je pense que c'est pourquoi cela fonctionne sur Codepen mais pas sur fCC./ cc @ freeCodeCamp / moderators Cela semble avoir le potentiel de devenir un problème très sérieux pour nous, mais je ne suis pas certain. Quelqu'un peut-il aider à enquêter?