Freecodecamp: Chromeがiframeにエラーメッセージを表示する-異常なコードが検出されました
更新
修正を考え出す間、Firefoxを使用してください。 ご迷惑をおかけして申し訳ございません。
チャレンジフォームへの送信ボタンの追加に問題があります。
ユーザーエージェントは: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) <strong i="11">Chrome/57.0.2987.88</strong> Safari/537.36です。
_説明のために@systimoticによって編集された説明_
電話フレームに警告が表示されます。 「Chromeはこのページで異常なコードを検出し、個人情報(パスワード、電話番号、クレジットカードなど)を保護するためにブロックしました。」
コード:
<link href="https://fonts.googleapis.com/css?family=Lobster" rel="stylesheet" type="text/css">
<style>
.red-text {
color: red;
}
h2 {
font-family: Lobster, Monospace;
}
p {
font-size: 16px;
font-family: Monospace;
}
.thick-green-border {
border-color: green;
border-width: 10px;
border-style: solid;
border-radius: 50%;
}
.smaller-image {
width: 100px;
}
</style>
<h2 class="red-text">CatPhotoApp</h2>
<p>Click here for <a href="#">cat photos</a>.</p>
<a href="#"><img class="smaller-image thick-green-border" alt="A cute orange cat lying on its back. " src="https://bit.ly/fcc-relaxing-cat"></a>
<p>Things cats love:</p>
<ul>
<li>cat nip</li>
<li>laser pointers</li>
<li>lasagna</li>
</ul>
<p>Top 3 things cats hate:</p>
<ol>
<li>flea treatment</li>
<li>thunder</li>
<li>other cats</li>
</ol>
<form action="/submit">
</form>
<form action="/submit-cat-photo">
<input type="text" placeholder="cat photo URL">
</form>
natuan62
全てのコメント72件
@ leekirby6問題をありがとう。 この通知を見た場所について詳しく教えてください。 スクリーンショットを提供できる場合は、スクリーンショットも役立つ場合があります。 ページを開いてもChromeから通知が届きません。 ありがとう!
erictleung
2017年03月04日
ああ、スクリーンショットを忘れてしまいました。
Firefoxを使用しても何も起こりません。
natuan62
2017年03月04日
Chromeベータ版に関連している可能性があります。 #12655を参照してください。 安定したChromeで問題なく動作します。 @ leekirby6安定したChromeで試してみませんか?
szib
2017年03月04日
信頼してくれてありがとう。 私は安定したものよりもベータ版を好みます:
Firefoxを使用しました!
natuan62
2017年03月04日
このエラーは、キャンピングカーがChromeの将来のバージョンでこれを確認することを示していますか? その場合は、リリース前にこれが修正されていることを確認する必要があります。
systimotic
2017年03月05日
これは、ベータ版とライブサイトの両方でChrome57で再現できます。
これを再現できるバージョンは57.0.2987.88です。 3月9日のChromeリリースブログから:
Chromeチームは、Chrome 57を安定したチャネル(Windows、Mac、Linuxの場合は57.0.2987.98)に昇格させたことをお知らせします。 これは、今後数日/数週間にわたって展開されます。
エラー:
XSS監査役は「へのアクセスブロックされたhttps://www.freecodecamp.com/challenges/add-a-submit-button-to-a-form#スクリプトのソースコードが内で発見されたため?ソリューション-ここでのソリューションを=」リクエスト。 サーバーが「X-XSS-Protection」ヘッダーを送信しなかったため、監査人が有効になりました。
これは、私たちが見ているエラーが実際にChrome57で有効になっている機能が原因であることに言及しています。
警告は、iframeにフォームがあることによってトリガーされたようです。
これは、これを解決する方法についての提案を含むStackOverflowの投稿です。
Codepenがこれをどのように処理するかをテストしました。 そこでは問題なく動作します。 いくつかの注目すべき違い:
- X-Frame-Optionsは、Codepenでは
SAMEORIGINALLOWALL、fCCではSAMEORIGINです。 これが原因である可能性は低いと思いますが、関連している可能性があります。 - X-XSS-ProtectionはfCCでは
1; mode=block、Codepenには存在しません。 これが、Codepenでは機能するがfCCでは機能しない理由だと思います。
/ cc @ freeCodeCamp / moderatorsこれは私たちにとって非常に深刻な問題になる可能性があるようですが、私にはわかりません。 誰かが調査を手伝ってくれる?
systimotic
2017年03月12日
@systimoticこれをみんなの注意を
これについて何か進歩を遂げることができましたか?
@BerkeleyTrueは、これを修正して本番
QuincyLarson
2017年03月13日
2017年3月13日月曜日午後6時44分、クインシーラーソン[email protected]
書きました:
@systimotichttps ://github.com/systimoticこれを持ってきてくれてありがとう
みんなの注目。 はい-これは深刻な問題です。 Googleが展開する場合
このアップデートは、私たちの課題を完全に打ち破ります。 だから私たちは修正する必要があります
このできるだけ早く。これについて何か進歩を遂げることができましたか?
@BerkeleyTruehttps ://github.com/BerkeleyTrueこれはあなたのものです
修正して本番環境にすばやくデプロイできますか、それとも誰かがいますか
これを委任する気ですか?—
このスレッドにサブスクライブしているため、これを受け取っています。
このメールに直接返信し、GitHubで表示してください
https://github.com/freeCodeCamp/freeCodeCamp/issues/13727#issuecomment-286147082 、
またはスレッドをミュートします
https://github.com/notifications/unsubscribe-auth/AX9USGhYYpx9VbE14GEjc5ELIWUePYCaks5rlWRggaJpZM4MS57P
。
iansibindi
2017年03月13日
私の理論がうまくいったら、バックアップ/マスターに対してPRを上げるという考えがあります。
それが機能する場合は、ステージングのためにそれを実装することもできます
Bouncey
2017年03月13日
しかし、誰か他の人がアイデアを持っている場合は、先に進んでそれを回避してください
これは重大な問題のようです
Bouncey
2017年03月13日
@QuincyLarson @systimotic @Bouncey調べてみると、( @ timoのリンクによると)Chromeはデフォルトの動作X-XSS-Protection: 1をX-XSS-Protection: 1; mode=blockます。 これは、ページのソースコードがリクエスト自体の中にある場合にページの実行を完全にブロックします(つまり、code-url)。
以前は、chromesのデフォルトの動作は、有害と見なされるスクリプトの部分を除外することでした。 これを回避するには、chromeが文句を言う特定の部分(フォームアクションなど)をエンコードし、iframeに挿入する前にそれらをデコードします。
これで、デフォルトの動作でページが完全にブロックされます。 これが問題の原因です(私は信じています)。
Chrome canaryをダウンロードしましたが、〜問題を再現できませんでした(バージョン59)〜コードuriにスクリプトタグを追加することで再現できました。
BerkeleyTrue
2017年03月13日
修正は、 X-XSS-PROTECTIONを1変更するのと同じくらい簡単かもしれません。
BerkeleyTrue
2017年03月13日
ベータ版では複製できませんが、本番環境では複製できます
Chrome57がUbuntuの「クロム安定版」になりました
Bouncey
2017年03月13日
バックアップ/マスターでローカルに複製できません
Bouncey
2017年03月13日
サーバーコントロールを介して、いくつかのhtmlおよびJavaScriptコードをサーバーにポストバックしようとすると、問題が発生します。
1cm
2017年03月16日
Chromeバージョン57.0.2987.110(64ビット)Win1064ビットで私に起こりました
driftshift
2017年03月20日
こんにちは皆さん、
私がこれをよりよく理解するのを手伝ってください。
私はソフトウェア会社のビジネスアナリストです。 57.0.2987.98 Chromeの更新後、「このページは機能していません。Chromeはこのページで異常なコードを検出し、個人情報(パスワード、電話番号、クレジットカードなど)を保護するためにブロックしました」というエラーが発生します。 。 ERR_BLOCKED_BY_XSS_AUDITOR "-基本的にここで話していること。
私の質問は次のようになります:
- それはバグですか、それとも機能ですか?
- バグの場合-修正されるときにどこで情報を入手できますか?
このエラーに苦しんでいるお客様はたくさんいます。Chromeの修正を待つべきか、それとも私たちの側で修正を実装するべきかを理解する必要があります。
dimapct
2017年03月21日
@dimapctこれはChrome用ではなくFreeCodeCamp.comのリポジトリです。 ビジネスソフトウェアとChromeに関するご質問は、GoogleではなくChromeチームにお問い合わせください。
BerkeleyTrue
2017年03月21日
@QuincyLarson
Chrome設定>詳細設定>危険なサイトから保護>オフ
しばらくの間私のために働いた
udbhavs
2017年03月22日
このバグレポートに出くわしたばかりです。 私の経験がこれにいくらかの光を当てるかもしれないのだろうか。
完全に誠実なサイトであるUbuntuフォーラムに投稿を書くと、Chromeは頻繁に、ただし常にではありませんが、[投稿のプレビュー]を押すとこのエラーが発生します。
パターンを見つけようとしましたが、完全に恣意的です。 Chromeが受け入れる言葉と受け入れない言葉を入力できますが、それらの間に大きな違いは見られません。 たとえば、Chromeが引用符で投稿をブロックする場合と、ブロックしない場合があります。
LinuxUbuntuでChrome57 Stable(公式のChromeリポジトリから)を使用しています。
( @QuincyLarsonによる提案を
paddylandau
2017年03月27日
残念ながら、 @ QuincyLarsonから提案されたソリューションはいきませんでした。
ただし、さらに詳しい情報がありますので、参考にしてください。
https://bugs.chromium.org/p/chromium/issues/detail?id=702542
https://bugs.chromium.org/p/chromium/issues/detail?id=706038
https://productforums.google.com/forum/#!msg/chrome/4MUJd75N4Jw/8uDOUMgrEQAJ
paddylandau
2017年04月04日
@paddylandauありがとう。
この問題は、cspにx-xss-protectionヘッダーを明示的に追加することで解決されたようです。 誰かがこれをテストする時間がありますか?
BerkeleyTrue
2017年04月04日
このヘッダーを追加する際の問題は、Chromeのためにセキュリティを低下させることを意味することです。 それは私には奇妙に思えます。
paddylandau
2017年04月05日
実際、ヘッダーを1に設定すると、セキュリティが同じに保たれ、Chromev57のセキュリティが向上しなくなります。 唯一の本当の違いは、v57がv56-や他のブラウザがこれまでサイレントにブロックしていた一部のコードをノイズでブロックしていることです。
darkporpoise
2017年04月05日
私はまだこの問題を経験しています:(
nvnellore
2017年04月07日
「フォーム要素の作成」でこの問題が引き続き発生します。
Rogerup
2017年04月10日
この問題に関する興味深い点は、別のブラウザでレッスンを完了してChromeに戻り、そのレッスンの「解決策を表示」すると、コードがエラーなしで読み取られ、次のレッスンに進むことができることです。 何かご意見は?
UnwrittenCanvas
2017年04月11日
2017年4月10日午前10時21分、「RogerioPenchel」 [email protected]
書きました:
私はまだこの問題を経験しています:(
—
このスレッドにサブスクライブしているため、これを受け取っています。
このメールに直接返信し、GitHubで表示してください
https://github.com/freeCodeCamp/freeCodeCamp/issues/13727#issuecomment-293018041 、
またはスレッドをミュートします
https://github.com/notifications/unsubscribe-auth/AV-9X3RBc4-MBzYNChdMp0_uZrywTADUks5rumUPgaJpZM4MS57P
。
Lurches
2017年04月11日
私はこれをFirefoxで実行しましたが、問題はありませんでした
nvnellore
2017年04月11日
@nvnelloreこれは、Chromium、
paddylandau
2017年04月11日
コンテンツを追加すると、このERR_BLOCKED_BY_XSS_AUDITORが表示されます。
mcgargle
2017年04月12日
申し訳ありませんが、明確にする必要があります...ショップカートのコンテンツを更新しようとしています。
これが含まれると
次に、ERR_BLOCKED_BY_XSS_AUDITORエラーが発生します。
mcgargle
2017年04月12日
今これを経験しました。
@udbhavsのソリューションは問題なく機能しました。
Chrome 57
Windows10-64ビット
ssisaias
2017年04月15日
Chromeバージョン57.0.2987.133(64ビット)
Windows 8.1 Pro64ビット
freakshowtm
2017年04月19日
@ssisaias — 機能する可能性がありますが、それは意図的にセキュリティを破壊するためです! これは合理的な回避策ではなく、仕事ベースのコンピューターや機密情報を保持するコンピューターには確かに適切ではありません。
paddylandau
2017年04月19日
この問題は、バージョン58(バージョン58.0.3029.81ベータ版(私のマシンでは64ビット)にアップグレードすることで解決されたようです。同じエラーが発生し、3つのドット->約に入る必要がありました。バージョンの下にはボタンがありました。 v57からv58へのアップデートを完了するには、を押す必要がありました。Chromeを再起動すると、問題は解決しました。
willdanneriv
2017年04月19日
@willdannerivおそらく、バージョン58で解決されていないので、幸運です。 今日のアップデート後もまだバグがあります。
paddylandau
2017年04月20日
@paddylandauたぶん。 ベータ版ですか、それとも安定版ですか?
willdanneriv
2017年04月20日
@willdanneriv安定しています。 今日私のマシンにリリースされたもの。
バージョン58.0.3029.81(64ビット)
あなたと同じです。
paddylandau
2017年04月20日
@paddylandau私が行ったプロセスに従って、再起動しましたか?
基地をカバーするだけで、申し訳ありませんが、うまくいきません。
willdanneriv
2017年04月20日
@willdanneriv —私はWindowsではなくLinuxを使用しているため、更新は公式のGoogleリポジトリから直接自動的にインストールされます。 更新が完了してからChromeを起動しました。 私が投稿したバージョン番号は、Chromeの「AboutGoogleChrome」からのカットアンドペーストでした。
実験として、私はWindows 10マシンに飛び乗ってそこで試しましたが、同じ問題が発生しました(もちろん、Chromeは完全に更新されています)。
たぶん、あなたがこれを偶然に今日試したフォーラムは、上記の@BerkeleyTrueで説明されているように解決策を追加しましたか?
paddylandau
2017年04月20日
Chrome58.0.3029.81でOSSierraを実行しているMacでもこの問題が発生しています。 どこに投稿するか少し混乱していますが、うまくいけばうまくいきます!
savemeaspark
2017年04月22日
macosでも同じ問題に直面しています。
MuruganPushparaj
2017年04月24日
Chromeでも同じ問題が発生しましたが、Chromeが進行を妨げていたため、Firefoxで続行しました。 別のブラウザをお持ちの場合は、同じことをお勧めします。 しかし、私たちの個人情報がここで安全であることを保証する必要があると私はまだ考えています
tobi10
2017年04月24日
ChromeまたはFirefoxでまだこれを経験している人はいますか? Chrome 58にアップデートしたばかりですが、Chrome 58でも、最新のFirefoxでも問題を再現できません。
QuincyLarson
2017年04月25日
問題が発生した場合は、他のブラウザにサインインして同じことを試してください。 私はクロームで問題に直面し、Safariで試しました。
MuruganPushparaj
2017年04月25日
ChromeまたはFirefoxでまだこれを経験している人はいますか?
はい、メインのウェブサイトでChrome 58を使用して再現できますが、ベータ版のウェブサイトでも同じ問題が発生します。
たぶん、それはバークレーがすでに特定したもの以外の進歩へのリードです。
raisedadead
2017年04月25日
しかし、私は問題に気づきました。 Chromeを離れて、Firefoxを使い続けました
エラーメッセージが表示されたので、Firefoxでさらにいくつかの演習を行いました。
特定の演習が行われたようにチェックされていないマップ。 登場したばかり
スキップされたかのように。
そこで、Chromeに戻ってそれを実行し、バグが修正されました。 しかし、私は
Firefoxで停止したところから続行できず、タブを更新して、
また、タブを閉じて再度開きましたが、次の演習が表示されました
私が現在Firefoxで取り組んでいる演習ではありません。
その後、Chromeでアカウントからサインアウトし、再度サインインして、
やりたいエクササイズを選択します。 プロセスはできると思います
タブを更新すると、停止したエクササイズに移動するようになります。
で。 助けてくれてありがとう。
2017年4月25日火曜日午前7時34分、mrugesh mohapatra < notifications@github.com
書きました:
ChromeまたはFirefoxでまだこれを経験している人はいますか?
はい、メインのウェブサイトでChrome 58で再現できますが、同じ課題です
ベータ版のウェブサイトで問題なく動作します。多分それはバークレーがすでに持っているもの以外の進歩へのリードです
識別されます。—
あなたがコメントしたのであなたはこれを受け取っています。
このメールに直接返信し、GitHubで表示してください
https://github.com/freeCodeCamp/freeCodeCamp/issues/13727#issuecomment-296928274 、
またはスレッドをミュートします
https://github.com/notifications/unsubscribe-auth/AZgA8UshOMmM5_yVN3POvedvIIVyoCL9ks5rzZPkgaJpZM4MS57P
。
-
Tobiloba Ogunlobiyi
+234 816 699 8393
www.linkedin.com/in/tobilobaogunlobiyi
tobi10
2017年04月25日
@QuincyLarson —はい、
@ tobi10 —単純な更新は単にページを再Ctrl + Shift + R押します。 サインアウトして再度サインインする手間を省くことができます。
paddylandau
2017年04月25日
@ paddylandau-同じ問題が再び発生しました。最初のjQuery演習で行き詰まり、Firefoxに行って演習を行い、さらに4つの演習を行いました。 その後、Chromeに戻って続行しました。 あなたが提案したようにctrl + shift + Rを使用して更新し、ログアウトして再度ログインしましたが、最初の演習で立ち往生していることがわかります。 添付されているのはページのスクリーンショットです
tobi10
2017年04月27日
@ tobi10 —Firefoxで続行する必要があると思います。 迷惑なことはわかっているので、Googleがこのバグをすぐに修正することを期待しましょう。
paddylandau
2017年04月27日
ありがとう@paddylandau
tobi10
2017年04月28日
このコメントを参照してください。
上記のコメントは、ここで何が起こっているのかを正しく分析していると強く信じています。
ページでの自動コード実行を停止したため、これはおそらくstaging修正されています。
raisedadead
2017年04月28日
@ willdanneriv-ありがとう、あなたのアドバイスは私のために働いた。
astoroid
2017年05月03日
私はその課題について同じ問題を抱えていますが、カナリアでそれを試してみようとしています。 これはGoogleChromeの開発者向けバージョンです。 うまくいったら、ここに別のメッセージを投稿します。たぶん、私たち全員が切り替える必要があるでしょう。
すべてカナリアで試してみましたが、エラーや問題なく簡単に終了できました。 私はWindows7ですが、現在のバージョンのGoogle Chromeを持っているので、Windows10や古いバージョンのChromeの問題だけではありません。
代わりに試してみたい場合は、ここでカナリアを入手できます。 https://www.google.com/chrome/browser/canary.html
SenaminBun
2017年05月03日
ArchLinuxのVivaldi1.8.770.56(安定チャネル)(64ビット)にもこれがあります-これもChromiumに基づいています。 @ tobi10と同じ場所
opalepatrick
2017年05月03日
Chromeでこの問題が発生しましたが、上記の@paddylandauの提案
frankmullen
2017年05月04日
再度発行
SellersC
2017年05月04日
こんにちは、これは既知の問題です。 そして、これを修正する方法を見つけようとしています。
問題を確認するこのスレッドにコメントしないでください(不要になったため)。
代わりに、このスレッドの冒頭の投稿で(👍)を使用してください。
このスレッドは、潜在的な解決策のためだけに残しておきたいと思います。
raisedadead
2017年05月05日
Chromeバージョン58.0.3029.96(64ビット)で問題が発生します。
Firefoxバージョン53.0.2(32ビット)で問題が発生しない。
Jason-Prince
2017年05月09日
JavaScriptを使用しないようにしてください。
JavaScriptを置き換えると同じ問題が発生しました:void(0)を#に置き換えると問題が解決しました。
priyasjoshi
2017年05月09日
ありがとうございました。
19:09時月、2017年5月8日には、priyasjoshi notifications@github.com
書きました:
JavaScriptを使用しないようにしてください。
JavaScriptを置き換えると同じ問題が発生しました:void(0)を#に置き換える
私の問題を解決しました。—
あなたがコメントしたのであなたはこれを受け取っています。
このメールに直接返信し、GitHubで表示してください
https://github.com/freeCodeCamp/freeCodeCamp/issues/13727#issuecomment-300032774 、
またはスレッドをミュートします
https://github.com/notifications/unsubscribe-auth/AT1eCNOnLJ8N0nN5JHiBNCx-e4cFc42Cks5r37zDgaJpZM4MS57P
。
Jason-Prince
2017年05月09日
現在の回避策は、Chromeの代わりにFirefoxを使用することです。
これを修正する間、ご容赦ください。
raisedadead
2017年05月17日
今日のコアチームの会話から:
したがって、ベータ版からロジックを複製する必要があるかもしれないと思います。 主に、読み取り時にURIからソリューションをストライピングし、自動実行を無効にし、コードロックを追加します
BerkeleyTrue
2017年05月23日
コードuri(uriのソリューション)を削除してロックするために本番環境で使用される一部のコード
https://github.com/freeCodeCamp/freeCodeCamp/blob/staging/client/sagas/code-storage-saga.js#L98
これを行うために使用されるユーティリティ:
uriからコードを取得します。
https://github.com/freeCodeCamp/freeCodeCamp/blob/staging/client/utils/code-uri.js#L52
コードuriを削除します。
https://github.com/freeCodeCamp/freeCodeCamp/blob/staging/client/utils/code-uri.js#L66
ここで、iframeに移動する前にファイルのビルドを処理するエピックで、コードが自動的に実行されるかどうかを確認します
https://github.com/freeCodeCamp/freeCodeCamp/blob/staging/client/sagas/build-challenge-epic.js#L24
ここでは、クラシックビューで実行ボタンをロックし、ロック解除ボタンを表示します
注:私はこれらすべてのリンクを壊すであろう作品の主要なリファクタリングを持っています。 そのPRがマージされたときに別のコメントでそれらを更新します
BerkeleyTrue
2017年05月23日
@BerkeleyTrueに感謝し
raisedadead
2017年05月24日
@raisedadeadすごい-あなたの助けに感謝します。 投稿を続けてください。バックアップが必要な場合はお知らせください。
QuincyLarson
2017年05月25日
先週の火曜日、 @ raisedadeadと私はこの問題を調査しました。 私はここで私たちの発見を共有し、後で私が自分で見つけたもので補足します。 これが、これがこの問題を解決する方法であると私たちが信じる理由の背景になることを願っています。
この問題は、freeCodeCampベータ版では、どのブラウザでも、どのコードでも再現できません。
最初のレポートで共有されたコードを使用すると、この問題はChrome57とChrome58(現在)では再現可能ですが、Chrome 59(Chromeベータ版)またはChrome 60(Chrome Canary)では再現できません。
この行で、ヘルメットxxsFilterプラグインを有効にします。 X-XXS-Protectionヘッダーを1; mode=blockます。 それは2年間そこにありました。
エラーをもう一度見てみましょう。
XSS監査役は「へのアクセスブロックされたhttps://www.freecodecamp.com/challenges/add-a-submit-button-to-a-form#スクリプトのソースコードが内で発見されたため?ソリューション-ここでのソリューションを=」リクエスト。 サーバーが「X-XSS-Protection」ヘッダーを送信しなかったため、監査人が有効になりました
これは私を混乱させます。 私たちは常にこのヘッダーを送信してきました。それは間違いなく応答にありますが、それでもそこにはないと書かれています。 なぜこれが起こっているのかについての私の最善の推測:ヘッダーは/add-a-submit-button-to-a-formページに送信されます。 問題は/add-a-submit-button-to-a-form#?solution=solution-hereで発生しますが、これはどういうわけか異なると見なされます。 これはChromeのバグかもしれないと思います。
Chrome 57では、存在するヘッダーはデフォルトで1; mode=blockに変更されておらず、 1も1; mode=block [ソース]として処理されます。 そのため、そのバージョンからこの問題に気づき始めました。 この問題の原因がChrome59から存在しなくなったことはまだわかりません。特定の問題のみが修正されたのか、バージョン57からの変更をロールバックしたのかはわかりません。
XSS監査人が行うこと(または少なくとも私がそれをどのように理解しているか)の簡単な要約を次に示します。URLとページのソースコードを調べます。 HTMLでも見つかったURLでスクリプト(または悪意があると思われるもの)が見つかった場合、ページがブロックされます。 [ソース1] [ソース2] [ソース3]
適切で最も簡単な解決策は、 X-XXS-Protectionヘッダーを0です。 これを試しましたが、このヘッダーが取得されないため(理由がわかりません)、これは機能しません。 現在提案されている代替ソリューションは、URLからコードを削除して、URLがページに影響を与えないようにし、XSS監査人がびっくりしないようにすることです。 これを製品版で動作させるのは難しいと思いますが、問題は解決するはずです。 これが@raisedadeadが取り組んでいることだと
systimotic
2017年05月26日
洞察力に感謝し、先日デバッグしたものの素晴らしい要約です。 はい、本番サイトでは少し注意が必要です。できるだけ早く更新します。
raisedadead
2017年05月26日
この「--disable-xss-auditor」をchromeショートカットのターゲットフィールドに追加すると、うまく機能しました。
Barryzachoppa
2017年05月28日
ChromeやFirefox(54.0b12)では動作しませんでした。 IEの使用に頼らなければなりませんでした。
accidentalpurpose
2017年06月02日
これはベータ版とメインのウェブサイトの両方で修正されています。
ハッピーコーディング!
raisedadead
2017年06月10日
関連する問題
cmal
·
3コメント
imhuyqn
·
3コメント
kokushozero
·
3コメント
SaintPeter
·
3コメント
vaibsharma
·
3コメント
最も参考になるコメント
これは、ベータ版とライブサイトの両方でChrome57で再現できます。
これを再現できるバージョンは57.0.2987.88です。 3月9日のChromeリリースブログから:
エラー:
これは、私たちが見ているエラーが実際にChrome57で有効になっている機能が原因であることに言及しています。
警告は、iframeにフォームがあることによってトリガーされたようです。
これは、これを解決する方法についての提案を含むStackOverflowの投稿です。
Codepenがこれをどのように処理するかをテストしました。 そこでは問題なく動作します。 いくつかの注目すべき違い:
SAMEORIGINALLOWALL、fCCではSAMEORIGINです。 これが原因である可能性は低いと思いますが、関連している可能性があります。1; mode=block、Codepenには存在しません。 これが、Codepenでは機能するがfCCでは機能しない理由だと思います。/ cc @ freeCodeCamp / moderatorsこれは私たちにとって非常に深刻な問題になる可能性があるようですが、私にはわかりません。 誰かが調査を手伝ってくれる?