更新
チャレンジフォームへの送信ボタンの追加に問題があります。
ユーザーエージェントは: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) <strong i="11">Chrome/57.0.2987.88</strong> Safari/537.36
です。
_説明のために@systimoticによって編集された説明_
電話フレームに警告が表示されます。 「Chromeはこのページで異常なコードを検出し、個人情報(パスワード、電話番号、クレジットカードなど)を保護するためにブロックしました。」
コード:
<link href="https://fonts.googleapis.com/css?family=Lobster" rel="stylesheet" type="text/css">
<style>
.red-text {
color: red;
}
h2 {
font-family: Lobster, Monospace;
}
p {
font-size: 16px;
font-family: Monospace;
}
.thick-green-border {
border-color: green;
border-width: 10px;
border-style: solid;
border-radius: 50%;
}
.smaller-image {
width: 100px;
}
</style>
<h2 class="red-text">CatPhotoApp</h2>
<p>Click here for <a href="#">cat photos</a>.</p>
<a href="#"><img class="smaller-image thick-green-border" alt="A cute orange cat lying on its back. " src="https://bit.ly/fcc-relaxing-cat"></a>
<p>Things cats love:</p>
<ul>
<li>cat nip</li>
<li>laser pointers</li>
<li>lasagna</li>
</ul>
<p>Top 3 things cats hate:</p>
<ol>
<li>flea treatment</li>
<li>thunder</li>
<li>other cats</li>
</ol>
<form action="/submit">
</form>
<form action="/submit-cat-photo">
<input type="text" placeholder="cat photo URL">
</form>
@ leekirby6問題をありがとう。 この通知を見た場所について詳しく教えてください。 スクリーンショットを提供できる場合は、スクリーンショットも役立つ場合があります。 ページを開いてもChromeから通知が届きません。 ありがとう!
ああ、スクリーンショットを忘れてしまいました。
Firefoxを使用しても何も起こりません。
Chromeベータ版に関連している可能性があります。 #12655を参照してください。 安定したChromeで問題なく動作します。 @ leekirby6安定したChromeで試してみませんか?
信頼してくれてありがとう。 私は安定したものよりもベータ版を好みます:
Firefoxを使用しました!
このエラーは、キャンピングカーがChromeの将来のバージョンでこれを確認することを示していますか? その場合は、リリース前にこれが修正されていることを確認する必要があります。
これは、ベータ版とライブサイトの両方でChrome57で再現できます。
これを再現できるバージョンは57.0.2987.88です。 3月9日のChromeリリースブログから:
Chromeチームは、Chrome 57を安定したチャネル(Windows、Mac、Linuxの場合は57.0.2987.98)に昇格させたことをお知らせします。 これは、今後数日/数週間にわたって展開されます。
エラー:
XSS監査役は「へのアクセスブロックされたhttps://www.freecodecamp.com/challenges/add-a-submit-button-to-a-form#スクリプトのソースコードが内で発見されたため?ソリューション-ここでのソリューションを=」リクエスト。 サーバーが「X-XSS-Protection」ヘッダーを送信しなかったため、監査人が有効になりました。
これは、私たちが見ているエラーが実際にChrome57で有効になっている機能が原因であることに言及しています。
警告は、iframeにフォームがあることによってトリガーされたようです。
これは、これを解決する方法についての提案を含むStackOverflowの投稿です。
Codepenがこれをどのように処理するかをテストしました。 そこでは問題なく動作します。 いくつかの注目すべき違い:
SAMEORIGIN
ALLOWALL
、fCCではSAMEORIGIN
です。 これが原因である可能性は低いと思いますが、関連している可能性があります。1; mode=block
、Codepenには存在しません。 これが、Codepenでは機能するがfCCでは機能しない理由だと思います。/ cc @ freeCodeCamp / moderatorsこれは私たちにとって非常に深刻な問題になる可能性があるようですが、私にはわかりません。 誰かが調査を手伝ってくれる?
@systimoticこれをみんなの注意を
これについて何か進歩を遂げることができましたか?
@BerkeleyTrueは、これを修正して本番
2017年3月13日月曜日午後6時44分、クインシーラーソン[email protected]
書きました:
@systimotichttps ://github.com/systimoticこれを持ってきてくれてありがとう
みんなの注目。 はい-これは深刻な問題です。 Googleが展開する場合
このアップデートは、私たちの課題を完全に打ち破ります。 だから私たちは修正する必要があります
このできるだけ早く。これについて何か進歩を遂げることができましたか?
@BerkeleyTruehttps ://github.com/BerkeleyTrueこれはあなたのものです
修正して本番環境にすばやくデプロイできますか、それとも誰かがいますか
これを委任する気ですか?—
このスレッドにサブスクライブしているため、これを受け取っています。
このメールに直接返信し、GitHubで表示してください
https://github.com/freeCodeCamp/freeCodeCamp/issues/13727#issuecomment-286147082 、
またはスレッドをミュートします
https://github.com/notifications/unsubscribe-auth/AX9USGhYYpx9VbE14GEjc5ELIWUePYCaks5rlWRggaJpZM4MS57P
。
私の理論がうまくいったら、バックアップ/マスターに対してPRを上げるという考えがあります。
それが機能する場合は、ステージングのためにそれを実装することもできます
しかし、誰か他の人がアイデアを持っている場合は、先に進んでそれを回避してください
これは重大な問題のようです
@QuincyLarson @systimotic @Bouncey調べてみると、( @ timoのリンクによると)Chromeはデフォルトの動作X-XSS-Protection: 1
をX-XSS-Protection: 1; mode=block
ます。 これは、ページのソースコードがリクエスト自体の中にある場合にページの実行を完全にブロックします(つまり、code-url)。
以前は、chromesのデフォルトの動作は、有害と見なされるスクリプトの部分を除外することでした。 これを回避するには、chromeが文句を言う特定の部分(フォームアクションなど)をエンコードし、iframeに挿入する前にそれらをデコードします。
これで、デフォルトの動作でページが完全にブロックされます。 これが問題の原因です(私は信じています)。
Chrome canaryをダウンロードしましたが、〜問題を再現できませんでした(バージョン59)〜コードuriにスクリプトタグを追加することで再現できました。
修正は、 X-XSS-PROTECTION
を1
変更するのと同じくらい簡単かもしれません。
ベータ版では複製できませんが、本番環境では複製できます
Chrome57がUbuntuの「クロム安定版」になりました
バックアップ/マスターでローカルに複製できません
サーバーコントロールを介して、いくつかのhtmlおよびJavaScriptコードをサーバーにポストバックしようとすると、問題が発生します。
Chromeバージョン57.0.2987.110(64ビット)Win1064ビットで私に起こりました
こんにちは皆さん、
私がこれをよりよく理解するのを手伝ってください。
私はソフトウェア会社のビジネスアナリストです。 57.0.2987.98 Chromeの更新後、「このページは機能していません。Chromeはこのページで異常なコードを検出し、個人情報(パスワード、電話番号、クレジットカードなど)を保護するためにブロックしました」というエラーが発生します。 。 ERR_BLOCKED_BY_XSS_AUDITOR "-基本的にここで話していること。
私の質問は次のようになります:
このエラーに苦しんでいるお客様はたくさんいます。Chromeの修正を待つべきか、それとも私たちの側で修正を実装するべきかを理解する必要があります。
@dimapctこれはChrome用ではなくFreeCodeCamp.comのリポジトリです。 ビジネスソフトウェアとChromeに関するご質問は、GoogleではなくChromeチームにお問い合わせください。
@QuincyLarson
Chrome設定>詳細設定>危険なサイトから保護>オフ
しばらくの間私のために働いた
このバグレポートに出くわしたばかりです。 私の経験がこれにいくらかの光を当てるかもしれないのだろうか。
完全に誠実なサイトであるUbuntuフォーラムに投稿を書くと、Chromeは頻繁に、ただし常にではありませんが、[投稿のプレビュー]を押すとこのエラーが発生します。
パターンを見つけようとしましたが、完全に恣意的です。 Chromeが受け入れる言葉と受け入れない言葉を入力できますが、それらの間に大きな違いは見られません。 たとえば、Chromeが引用符で投稿をブロックする場合と、ブロックしない場合があります。
LinuxUbuntuでChrome57 Stable(公式のChromeリポジトリから)を使用しています。
( @QuincyLarsonによる提案を
残念ながら、 @ QuincyLarsonから提案されたソリューションはいきませんでした。
ただし、さらに詳しい情報がありますので、参考にしてください。
https://bugs.chromium.org/p/chromium/issues/detail?id=702542
https://bugs.chromium.org/p/chromium/issues/detail?id=706038
https://productforums.google.com/forum/#!msg/chrome/4MUJd75N4Jw/8uDOUMgrEQAJ
@paddylandauありがとう。
この問題は、cspにx-xss-protectionヘッダーを明示的に追加することで解決されたようです。 誰かがこれをテストする時間がありますか?
このヘッダーを追加する際の問題は、Chromeのためにセキュリティを低下させることを意味することです。 それは私には奇妙に思えます。
実際、ヘッダーを1に設定すると、セキュリティが同じに保たれ、Chromev57のセキュリティが向上しなくなります。 唯一の本当の違いは、v57がv56-や他のブラウザがこれまでサイレントにブロックしていた一部のコードをノイズでブロックしていることです。
私はまだこの問題を経験しています:(
「フォーム要素の作成」でこの問題が引き続き発生します。
この問題に関する興味深い点は、別のブラウザでレッスンを完了してChromeに戻り、そのレッスンの「解決策を表示」すると、コードがエラーなしで読み取られ、次のレッスンに進むことができることです。 何かご意見は?
2017年4月10日午前10時21分、「RogerioPenchel」 [email protected]
書きました:
私はまだこの問題を経験しています:(
—
このスレッドにサブスクライブしているため、これを受け取っています。
このメールに直接返信し、GitHubで表示してください
https://github.com/freeCodeCamp/freeCodeCamp/issues/13727#issuecomment-293018041 、
またはスレッドをミュートします
https://github.com/notifications/unsubscribe-auth/AV-9X3RBc4-MBzYNChdMp0_uZrywTADUks5rumUPgaJpZM4MS57P
。
私はこれをFirefoxで実行しましたが、問題はありませんでした
@nvnelloreこれは、Chromium、
コンテンツを追加すると、このERR_BLOCKED_BY_XSS_AUDITORが表示されます。
申し訳ありませんが、明確にする必要があります...ショップカートのコンテンツを更新しようとしています。
これが含まれると
次に、ERR_BLOCKED_BY_XSS_AUDITORエラーが発生します。
今これを経験しました。
@udbhavsのソリューションは問題なく機能しました。
Chrome 57
Windows10-64ビット
Chromeバージョン57.0.2987.133(64ビット)
Windows 8.1 Pro64ビット
@ssisaias — 機能する可能性がありますが、それは意図的にセキュリティを破壊するためです! これは合理的な回避策ではなく、仕事ベースのコンピューターや機密情報を保持するコンピューターには確かに適切ではありません。
この問題は、バージョン58(バージョン58.0.3029.81ベータ版(私のマシンでは64ビット)にアップグレードすることで解決されたようです。同じエラーが発生し、3つのドット->約に入る必要がありました。バージョンの下にはボタンがありました。 v57からv58へのアップデートを完了するには、を押す必要がありました。Chromeを再起動すると、問題は解決しました。
@willdannerivおそらく、バージョン58で解決されていないので、幸運です。 今日のアップデート後もまだバグがあります。
@paddylandauたぶん。 ベータ版ですか、それとも安定版ですか?
@willdanneriv安定しています。 今日私のマシンにリリースされたもの。
バージョン58.0.3029.81(64ビット)
あなたと同じです。
@paddylandau私が行ったプロセスに従って、再起動しましたか?
基地をカバーするだけで、申し訳ありませんが、うまくいきません。
@willdanneriv —私はWindowsではなくLinuxを使用しているため、更新は公式のGoogleリポジトリから直接自動的にインストールされます。 更新が完了してからChromeを起動しました。 私が投稿したバージョン番号は、Chromeの「AboutGoogleChrome」からのカットアンドペーストでした。
実験として、私はWindows 10マシンに飛び乗ってそこで試しましたが、同じ問題が発生しました(もちろん、Chromeは完全に更新されています)。
たぶん、あなたがこれを偶然に今日試したフォーラムは、上記の@BerkeleyTrueで説明されているように解決策を追加しましたか?
Chrome58.0.3029.81でOSSierraを実行しているMacでもこの問題が発生しています。 どこに投稿するか少し混乱していますが、うまくいけばうまくいきます!
macosでも同じ問題に直面しています。
Chromeでも同じ問題が発生しましたが、Chromeが進行を妨げていたため、Firefoxで続行しました。 別のブラウザをお持ちの場合は、同じことをお勧めします。 しかし、私たちの個人情報がここで安全であることを保証する必要があると私はまだ考えています
ChromeまたはFirefoxでまだこれを経験している人はいますか? Chrome 58にアップデートしたばかりですが、Chrome 58でも、最新のFirefoxでも問題を再現できません。
問題が発生した場合は、他のブラウザにサインインして同じことを試してください。 私はクロームで問題に直面し、Safariで試しました。
ChromeまたはFirefoxでまだこれを経験している人はいますか?
はい、メインのウェブサイトでChrome 58を使用して再現できますが、ベータ版のウェブサイトでも同じ問題が発生します。
たぶん、それはバークレーがすでに特定したもの以外の進歩へのリードです。
しかし、私は問題に気づきました。 Chromeを離れて、Firefoxを使い続けました
エラーメッセージが表示されたので、Firefoxでさらにいくつかの演習を行いました。
特定の演習が行われたようにチェックされていないマップ。 登場したばかり
スキップされたかのように。
そこで、Chromeに戻ってそれを実行し、バグが修正されました。 しかし、私は
Firefoxで停止したところから続行できず、タブを更新して、
また、タブを閉じて再度開きましたが、次の演習が表示されました
私が現在Firefoxで取り組んでいる演習ではありません。
その後、Chromeでアカウントからサインアウトし、再度サインインして、
やりたいエクササイズを選択します。 プロセスはできると思います
タブを更新すると、停止したエクササイズに移動するようになります。
で。 助けてくれてありがとう。
2017年4月25日火曜日午前7時34分、mrugesh mohapatra < notifications@github.com
書きました:
ChromeまたはFirefoxでまだこれを経験している人はいますか?
はい、メインのウェブサイトでChrome 58で再現できますが、同じ課題です
ベータ版のウェブサイトで問題なく動作します。多分それはバークレーがすでに持っているもの以外の進歩へのリードです
識別されます。—
あなたがコメントしたのであなたはこれを受け取っています。
このメールに直接返信し、GitHubで表示してください
https://github.com/freeCodeCamp/freeCodeCamp/issues/13727#issuecomment-296928274 、
またはスレッドをミュートします
https://github.com/notifications/unsubscribe-auth/AZgA8UshOMmM5_yVN3POvedvIIVyoCL9ks5rzZPkgaJpZM4MS57P
。
Tobiloba Ogunlobiyi
+234 816 699 8393
www.linkedin.com/in/tobilobaogunlobiyi
@QuincyLarson —はい、
@ tobi10 —単純な更新は単にページを再Ctrl
+ Shift
+ R
押します。 サインアウトして再度サインインする手間を省くことができます。
@ paddylandau-同じ問題が再び発生しました。最初のjQuery演習で行き詰まり、Firefoxに行って演習を行い、さらに4つの演習を行いました。 その後、Chromeに戻って続行しました。 あなたが提案したようにctrl + shift + Rを使用して更新し、ログアウトして再度ログインしましたが、最初の演習で立ち往生していることがわかります。 添付されているのはページのスクリーンショットです
@ tobi10 —Firefoxで続行する必要があると思います。 迷惑なことはわかっているので、Googleがこのバグをすぐに修正することを期待しましょう。
ありがとう@paddylandau
このコメントを参照してください。
上記のコメントは、ここで何が起こっているのかを正しく分析していると強く信じています。
ページでの自動コード実行を停止したため、これはおそらくstaging
修正されています。
@ willdanneriv-ありがとう、あなたのアドバイスは私のために働いた。
私はその課題について同じ問題を抱えていますが、カナリアでそれを試してみようとしています。 これはGoogleChromeの開発者向けバージョンです。 うまくいったら、ここに別のメッセージを投稿します。たぶん、私たち全員が切り替える必要があるでしょう。
すべてカナリアで試してみましたが、エラーや問題なく簡単に終了できました。 私はWindows7ですが、現在のバージョンのGoogle Chromeを持っているので、Windows10や古いバージョンのChromeの問題だけではありません。
代わりに試してみたい場合は、ここでカナリアを入手できます。 https://www.google.com/chrome/browser/canary.html
ArchLinuxのVivaldi1.8.770.56(安定チャネル)(64ビット)にもこれがあります-これもChromiumに基づいています。 @ tobi10と同じ場所
Chromeでこの問題が発生しましたが、上記の@paddylandauの提案
再度発行
こんにちは、これは既知の問題です。 そして、これを修正する方法を見つけようとしています。
代わりに、このスレッドの冒頭の投稿で(👍)を使用してください。
このスレッドは、潜在的な解決策のためだけに残しておきたいと思います。
Chromeバージョン58.0.3029.96(64ビット)で問題が発生します。
Firefoxバージョン53.0.2(32ビット)で問題が発生しない。
JavaScriptを使用しないようにしてください。
JavaScriptを置き換えると同じ問題が発生しました:void(0)を#に置き換えると問題が解決しました。
ありがとうございました。
19:09時月、2017年5月8日には、priyasjoshi notifications@github.com
書きました:
JavaScriptを使用しないようにしてください。
JavaScriptを置き換えると同じ問題が発生しました:void(0)を#に置き換える
私の問題を解決しました。—
あなたがコメントしたのであなたはこれを受け取っています。
このメールに直接返信し、GitHubで表示してください
https://github.com/freeCodeCamp/freeCodeCamp/issues/13727#issuecomment-300032774 、
またはスレッドをミュートします
https://github.com/notifications/unsubscribe-auth/AT1eCNOnLJ8N0nN5JHiBNCx-e4cFc42Cks5r37zDgaJpZM4MS57P
。
これを修正する間、ご容赦ください。
今日のコアチームの会話から:
したがって、ベータ版からロジックを複製する必要があるかもしれないと思います。 主に、読み取り時にURIからソリューションをストライピングし、自動実行を無効にし、コードロックを追加します
コードuri(uriのソリューション)を削除してロックするために本番環境で使用される一部のコード
https://github.com/freeCodeCamp/freeCodeCamp/blob/staging/client/sagas/code-storage-saga.js#L98
これを行うために使用されるユーティリティ:
uriからコードを取得します。
https://github.com/freeCodeCamp/freeCodeCamp/blob/staging/client/utils/code-uri.js#L52
コードuriを削除します。
https://github.com/freeCodeCamp/freeCodeCamp/blob/staging/client/utils/code-uri.js#L66
ここで、iframeに移動する前にファイルのビルドを処理するエピックで、コードが自動的に実行されるかどうかを確認します
https://github.com/freeCodeCamp/freeCodeCamp/blob/staging/client/sagas/build-challenge-epic.js#L24
ここでは、クラシックビューで実行ボタンをロックし、ロック解除ボタンを表示します
注:私はこれらすべてのリンクを壊すであろう作品の主要なリファクタリングを持っています。 そのPRがマージされたときに別のコメントでそれらを更新します
@BerkeleyTrueに感謝し
@raisedadeadすごい-あなたの助けに感謝します。 投稿を続けてください。バックアップが必要な場合はお知らせください。
先週の火曜日、 @ raisedadeadと私はこの問題を調査しました。 私はここで私たちの発見を共有し、後で私が自分で見つけたもので補足します。 これが、これがこの問題を解決する方法であると私たちが信じる理由の背景になることを願っています。
この問題は、freeCodeCampベータ版では、どのブラウザでも、どのコードでも再現できません。
最初のレポートで共有されたコードを使用すると、この問題はChrome57とChrome58(現在)では再現可能ですが、Chrome 59(Chromeベータ版)またはChrome 60(Chrome Canary)では再現できません。
この行で、ヘルメットxxsFilterプラグインを有効にします。 X-XXS-Protection
ヘッダーを1; mode=block
ます。 それは2年間そこにありました。
エラーをもう一度見てみましょう。
XSS監査役は「へのアクセスブロックされたhttps://www.freecodecamp.com/challenges/add-a-submit-button-to-a-form#スクリプトのソースコードが内で発見されたため?ソリューション-ここでのソリューションを=」リクエスト。 サーバーが「X-XSS-Protection」ヘッダーを送信しなかったため、監査人が有効になりました
これは私を混乱させます。 私たちは常にこのヘッダーを送信してきました。それは間違いなく応答にありますが、それでもそこにはないと書かれています。 なぜこれが起こっているのかについての私の最善の推測:ヘッダーは/add-a-submit-button-to-a-form
ページに送信されます。 問題は/add-a-submit-button-to-a-form#?solution=solution-here
で発生しますが、これはどういうわけか異なると見なされます。 これはChromeのバグかもしれないと思います。
Chrome 57では、存在するヘッダーはデフォルトで1; mode=block
に変更されておらず、 1
も1; mode=block
[ソース]として処理されます。 そのため、そのバージョンからこの問題に気づき始めました。 この問題の原因がChrome59から存在しなくなったことはまだわかりません。特定の問題のみが修正されたのか、バージョン57からの変更をロールバックしたのかはわかりません。
XSS監査人が行うこと(または少なくとも私がそれをどのように理解しているか)の簡単な要約を次に示します。URLとページのソースコードを調べます。 HTMLでも見つかったURLでスクリプト(または悪意があると思われるもの)が見つかった場合、ページがブロックされます。 [ソース1] [ソース2] [ソース3]
適切で最も簡単な解決策は、 X-XXS-Protection
ヘッダーを0
です。 これを試しましたが、このヘッダーが取得されないため(理由がわかりません)、これは機能しません。 現在提案されている代替ソリューションは、URLからコードを削除して、URLがページに影響を与えないようにし、XSS監査人がびっくりしないようにすることです。 これを製品版で動作させるのは難しいと思いますが、問題は解決するはずです。 これが@raisedadeadが取り組んでいることだと
洞察力に感謝し、先日デバッグしたものの素晴らしい要約です。 はい、本番サイトでは少し注意が必要です。できるだけ早く更新します。
この「--disable-xss-auditor」をchromeショートカットのターゲットフィールドに追加すると、うまく機能しました。
ChromeやFirefox(54.0b12)では動作しませんでした。 IEの使用に頼らなければなりませんでした。
これはベータ版とメインのウェブサイトの両方で修正されています。
ハッピーコーディング!
最も参考になるコメント
これは、ベータ版とライブサイトの両方でChrome57で再現できます。
これを再現できるバージョンは57.0.2987.88です。 3月9日のChromeリリースブログから:
エラー:
これは、私たちが見ているエラーが実際にChrome57で有効になっている機能が原因であることに言及しています。
警告は、iframeにフォームがあることによってトリガーされたようです。
これは、これを解決する方法についての提案を含むStackOverflowの投稿です。
Codepenがこれをどのように処理するかをテストしました。 そこでは問題なく動作します。 いくつかの注目すべき違い:
SAMEORIGIN
ALLOWALL
、fCCではSAMEORIGIN
です。 これが原因である可能性は低いと思いますが、関連している可能性があります。1; mode=block
、Codepenには存在しません。 これが、Codepenでは機能するがfCCでは機能しない理由だと思います。/ cc @ freeCodeCamp / moderatorsこれは私たちにとって非常に深刻な問題になる可能性があるようですが、私にはわかりません。 誰かが調査を手伝ってくれる?