Обновить
Задача При добавлении кнопки отправки в форму возникла проблема.
Пользовательский агент: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) <strong i="11">Chrome/57.0.2987.88</strong> Safari/537.36
.
_Описание отредактировано @systimotic для пояснения_
В рамке телефона отображается предупреждение. В нем говорится: «Chrome обнаружил необычный код на этой странице и заблокировал его, чтобы защитить вашу личную информацию (например, пароли, номера телефонов и кредитные карты)».
Код:
<link href="https://fonts.googleapis.com/css?family=Lobster" rel="stylesheet" type="text/css">
<style>
.red-text {
color: red;
}
h2 {
font-family: Lobster, Monospace;
}
p {
font-size: 16px;
font-family: Monospace;
}
.thick-green-border {
border-color: green;
border-width: 10px;
border-style: solid;
border-radius: 50%;
}
.smaller-image {
width: 100px;
}
</style>
<h2 class="red-text">CatPhotoApp</h2>
<p>Click here for <a href="#">cat photos</a>.</p>
<a href="#"><img class="smaller-image thick-green-border" alt="A cute orange cat lying on its back. " src="https://bit.ly/fcc-relaxing-cat"></a>
<p>Things cats love:</p>
<ul>
<li>cat nip</li>
<li>laser pointers</li>
<li>lasagna</li>
</ul>
<p>Top 3 things cats hate:</p>
<ol>
<li>flea treatment</li>
<li>thunder</li>
<li>other cats</li>
</ol>
<form action="/submit">
</form>
<form action="/submit-cat-photo">
<input type="text" placeholder="cat photo URL">
</form>
@ leekirby6, спасибо за вопрос. Не могли бы вы подробнее рассказать, где вы видели это уведомление? Снимок экрана также может помочь, если вы можете его предоставить. Когда я открываю страницу, я не получаю никаких уведомлений от Chrome. Благодаря!
О, я забыл про скриншот.
Когда я использую firefox, ничего не происходит.
Это может быть связано с бета-версией Chrome. См. № 12655. У меня он отлично работает со стабильным Chrome. @ leekirby6 Можете попробовать со стабильным Chrome?
Спасибо за доверие. Я предпочитаю бета-версию, чем стабильную:
Я использовал firefox!
Означает ли эта ошибка, что туристы увидят ее в будущей версии Chrome? Если это так, мы, вероятно, должны убедиться, что это исправлено до выпуска.
Я могу воспроизвести это с помощью Chrome 57 как на бета-версии, так и на рабочем сайте.
Версия, в которой это можно воспроизвести, - 57.0.2987.88. Из блога Chrome Release 9 марта:
Команда Chrome рада объявить о продвижении Chrome 57 на стабильный канал - 57.0.2987.98 для Windows, Mac и Linux. Это будет развернуто в ближайшие дни / недели.
Ошибка:
Аудитор XSS заблокировал доступ к https://www.freecodecamp.com/challenges/add-a-submit-button-to-a-form# ? Solution = solution-here, поскольку исходный код сценария был найден в запрос. Аудитор был включен, поскольку сервер не отправил заголовок «X-XSS-Protection».
Здесь упоминается, что ошибка, которую мы видим, действительно вызвана функциональностью, включенной в Chrome 57.
Предупреждение, похоже, вызвано наличием формы в iframe.
Вот сообщение на StackOverflow с предложением, как решить эту проблему.
Я тестировал, как Codepen с этим справляется. Там он отлично работает. Некоторые заметные отличия:
ALLOWALL
в Codepen, SAMEORIGIN
в FCC. Думаю, это вряд ли причина, но может быть связано.1; mode=block
в FCC, но отсутствует в Codepen. Думаю, именно поэтому он работает на Codepen, но не на FCC./ cc @ freeCodeCamp / moderators Похоже, это может стать для нас очень серьезной проблемой, но я не уверен. Кто-нибудь может помочь в расследовании?
@systimotic, спасибо, что
Удалось ли вам добиться в этом прогресса?
@BerkeleyTrue - это что-то, что вы могли бы исправить и быстро развернуть в производственной
В пн, 13 марта 2017 г., в 18:44, Куинси Ларсон [email protected]
написал:
@systimotic https://github.com/systimotic благодарит за то, что доставил это в
всеобщее внимание. Да - это серьезная проблема. Если Google выйдет
это обновление полностью решит наши задачи. Итак, нам нужно исправить
это как можно скорее.Удалось ли вам добиться в этом прогресса?
@BerkeleyTrue https://github.com/BerkeleyTrue это то, что вы
можно исправить и развернуть в производство очень быстро, или у вас есть кто-то
ум для делегирования этого?-
Вы получаете это, потому что подписаны на эту ветку.
Ответьте на это письмо напрямую, просмотрите его на GitHub
https://github.com/freeCodeCamp/freeCodeCamp/issues/13727#issuecomment-286147082 ,
или отключить поток
https://github.com/notifications/unsubscribe-auth/AX9USGhYYpx9VbE14GEjc5ELIWUePYCaks5rlWRggaJpZM4MS57P
.
У меня есть идея, я подниму PR против бэкапа / мастера, если моя теория сработает.
Если это сработает, я могу внедрить его и для постановки
Но, пожалуйста, если у кого-то есть идея, продолжайте работать над ней.
Это похоже на критическую проблему
@QuincyLarson @systimotic @Bouncey Глядя на это, (согласно ссылке @timo ) Chrome меняет поведение по умолчанию X-XSS-Protection: 1
на X-XSS-Protection: 1; mode=block
. Это полностью блокирует запуск страницы, когда исходный код страницы находится внутри самого запроса (то есть код-url).
Раньше поведение хрома по умолчанию заключалось в том, чтобы отфильтровать части скрипта, которые считались бы вредными. Мы обошли это, кодируя определенные части, на которые хром будет жаловаться (действия формы и т. Д.), А затем декодируем их перед внедрением в iframe.
Теперь поведение по умолчанию будет полностью блокировать страницу. Это то, что вызывает проблему (я считаю).
Я загрузил Chrome canary и ~ не смог воспроизвести проблему (это версия 59). ~ Я смог воспроизвести ее, добавив тег скрипта в код-uri.
Для исправления достаточно просто изменить X-XSS-PROTECTION
на 1
;
Я не могу воспроизвести на бета-версии, но могу на производстве
Chrome 57 стал стабильным Chrome для Ubuntu
Я не могу воспроизвести локально на резервной копии / мастере
попробуйте отправить обратно через серверный элемент управления некоторый код html и JavaScript на сервер, и вы увидите проблему.
случилось со мной в Chrome версии 57.0.2987.110 (64-бит) Win10 64bit
Всем привет,
пожалуйста, помогите мне лучше понять это.
Я бизнес-аналитик компании-разработчика программного обеспечения. У нас возникла проблема, заключающаяся в том, что после обновления Chrome 57.0.2987.98 мы получаем сообщение об ошибке «Эта страница не работает. Chrome обнаружил необычный код на этой странице и заблокировал его, чтобы защитить вашу личную информацию (например, пароли, номера телефонов и кредитные карты). . ERR_BLOCKED_BY_XSS_AUDITOR "- в основном то, что вы здесь обсуждаете.
Мои вопросы будут такими:
У нас есть ряд клиентов, которые страдают от этой ошибки, и нам нужно понять, следует ли нам ждать исправления Chrome или внедрять исправление на нашей стороне.
@dimapct Это репозиторий FreeCodeCamp.com, а не Chrome. Вопросы, связанные с программным обеспечением для бизнеса и Chrome, задавайте команде разработчиков Chrome, а не нам.
@QuincyLarson
Настройки Chrome> расширенные настройки> Защита от опасных сайтов> выкл.
работал у меня некоторое время
Я только что наткнулся на этот отчет об ошибке. Интересно, может ли мой опыт пролить свет на это.
Когда я пишу сообщение на форумах Ubuntu - абсолютно добросовестном сайте - Chrome часто, но не всегда, выдает мне эту ошибку, когда я нажимаю «Предварительный просмотр сообщения».
Я пытался найти образец, но он кажется совершенно произвольным; Я могу ввести какую-то формулировку, которую Chrome принимает, и другую формулировку, которую он не делает, и я не вижу между ними значительной разницы. Например, иногда Chrome блокирует сообщение цитатами, а иногда нет.
Я использую Chrome 57 Stable (из официальных репозиториев Chrome) в Linux Ubuntu.
(Я пока приму предложение отключать его немного нервирует!)
К сожалению, предложенное решение от @QuincyLarson у меня не сработало.
Однако есть дополнительная информация, которая, я надеюсь, поможет:
https://bugs.chromium.org/p/chromium/issues/detail?id=702542
https://bugs.chromium.org/p/chromium/issues/detail?id=706038
https://productforums.google.com/forum/#!msg/chrome/4MUJd75N4Jw/8uDOUMgrEQAJ
@paddylandau Спасибо.
Кажется, проблема решена путем явного добавления заголовков x-xss-protection к нашему csp. У кого-нибудь есть время, чтобы проверить это?
Проблема с добавлением этого заголовка заключается в том, что это означает снижение безопасности ради Chrome. Мне это кажется странным.
На самом деле, если вы установите заголовок в 1, вы просто сохраните безопасность и не позволите Chrome v57 повысить безопасность. Единственное реальное отличие состоит в том, что v57 шумно блокирует некоторый код, который v56- и другие браузеры до сих пор молча блокировали.
У меня все еще возникает эта проблема :(
У меня все еще возникает эта проблема при создании элемента формы.
Что интересно, когда вы завершаете урок в другом браузере, возвращаетесь в Chrome и «просматриваете решение» этого урока, код читается без ошибок, и вы можете продолжить следующий урок. Есть предположения?
10 апреля 2017 г., 10:21, "Роджерио Пенчел" [email protected]
написал:
У меня все еще возникает эта проблема :(
-
Вы получаете это, потому что подписаны на эту ветку.
Ответьте на это письмо напрямую, просмотрите его на GitHub
https://github.com/freeCodeCamp/freeCodeCamp/issues/13727#issuecomment-293018041 ,
или отключить поток
https://github.com/notifications/unsubscribe-auth/AV-9X3RBc4-MBzYNChdMp0_uZrywTADUks5rumUPgaJpZM4MS57P
.
Я запустил это в Firefox, и у меня не было проблем
@nvnellore Это относится только к Chromium и, соответственно, к Chrome. Ни один другой браузер не дает такой проблемы.
Я видел этот ERR_BLOCKED_BY_XSS_AUDITOR, когда добавляю контент с
Извините - следует уточнить ... пытаюсь просто обновить содержимое корзины нашего магазина.
Как только это будет включено
тогда мы получаем ошибку ERR_BLOCKED_BY_XSS_AUDITOR.
Испытал это прямо сейчас.
Решение @udbhavs работало нормально.
Хром 57
Windows 10 - 64 бит
Версия Chrome 57.0.2987.133 (64-разрядная)
64-разрядная версия Windows 8.1 Pro
@ssisaias - обходной путь (не решение) от @udbhavs может работать, но это потому, что он сознательно нарушает безопасность! Это не разумный обходной путь и, конечно же, не подходит для рабочего компьютера или любого другого компьютера, на котором хранится конфиденциальная информация.
Проблема, похоже, решена путем обновления до версии 58 (версия 58.0.3029.81 beta (64-битная, на моей машине). Я получал ту же ошибку, и мне пришлось перейти к 3 точкам -> около. Под версией была кнопка Мне пришлось нажать, чтобы завершить обновление с v57 до v58.При перезапуске Chrome проблема была решена.
@willdanneriv Возможно, вам повезло, потому что версия 58 не решила эту проблему для меня. Я все еще получаю ошибку после сегодняшнего обновления.
@paddylandau Возможно. Вы используете бета-версию или стабильную версию?
@willdanneriv Стабильная. Тот, который сегодня был выпущен для моей машины.
Версия 58.0.3029.81 (64-бит)
Такой же, как у вас.
@paddylandau Вы следовали тому же процессу, что и я, и перезапустили?
Просто прикрываю базы, извините, это не работает для вас.
@willdanneriv - я использую Linux, а не Windows, поэтому обновления автоматически устанавливаются прямо из официального репозитория Google. Я запустил Chrome только после завершения обновлений; номер версии, который я опубликовал, был скопирован из статьи Chrome "О Google Chrome".
В качестве эксперимента я запрыгнул на компьютер с Windows 10 и попробовал на нем, и у меня возникла та же проблема (конечно, Chrome полностью обновлен).
Может быть, форум, на котором вы это пробовали, случайно сегодня добавил решение, как описано выше @BerkeleyTrue ?
У меня также возникла эта проблема на моем Mac под управлением OS Sierra с Chrome 58.0.3029.81. Я немного не понимаю, где публиковать, но, надеюсь, это сработает!
Я также сталкиваюсь с той же проблемой в Mac OS.
У меня была такая же проблема сейчас в Chrome, затем я перешел на Firefox, чтобы продолжить, так как Chrome мешал мне прогрессировать. Я советую, если у вас есть другой браузер, сделайте то же самое. Однако я все еще думаю, что мы должны быть уверены, что наша личная информация здесь в безопасности.
Кто-нибудь все еще сталкивается с этим в Chrome или Firefox? Я только что обновился до Chrome 58 и не могу воспроизвести проблему ни там, ни в последней версии Firefox.
Если вы столкнулись с проблемой, войдите в другой браузер и попробуйте то же самое. Я столкнулся с проблемой в хроме, а затем попробовал в Safari, я только что сделал.
Кто-нибудь все еще сталкивается с этим в Chrome или Firefox?
Да, я могу воспроизвести с Chrome 58 на главном веб-сайте, но та же проблема работает нормально на бета-сайте.
Возможно, это путь к прогрессу, отличный от того, что уже определил Беркли.
Но я заметил проблему. Я оставил Chrome и продолжил работу с Firefox, когда
увидел сообщение об ошибке, поэтому я сделал еще несколько упражнений в Firefox, однако
карта этого конкретного упражнения не была отмечена как выполненная. Это только что появилось
как будто его пропустили.
Итак, я вернулся в Chrome, чтобы сделать это, и ошибка была исправлена. Тем не менее, я
не мог продолжить с того места, где остановился на Firefox, я обновил вкладку и
Я также закрыл вкладку и снова открыл ее, но мне показали следующее упражнение
это не упражнение, над которым я сейчас работаю.
Затем я вышел из своей учетной записи в Chrome, снова вошел в систему и смог
чтобы выбрать упражнение, которое я хочу сделать. Я думаю, что процесс можно завершить
лучше, так что если я обновлю свою вкладку, я перейду к упражнению, которое я остановил
в. Спасибо за помощь ребята.
Во вторник, 25 апреля 2017 г., 7:34, mrugesh mohapatra < notifications@github.com
написал:
Кто-нибудь все еще сталкивается с этим в Chrome или Firefox?
Да, я могу воспроизвести с Chrome 58 на главном веб-сайте, но та же проблема
работает нормально на бета-сайте.Может быть, это еще один путь к прогрессу, отличный от того, что уже есть в Беркли.
идентифицированы.-
Вы получили это, потому что оставили комментарий.
Ответьте на это письмо напрямую, просмотрите его на GitHub
https://github.com/freeCodeCamp/freeCodeCamp/issues/13727#issuecomment-296928274 ,
или отключить поток
https://github.com/notifications/unsubscribe-auth/AZgA8UshOMmM5_yVN3POvedvIIVyoCL9ks5rzZPkgaJpZM4MS57P
.
Тобилоба Огунлобийи
+234 816 699 8393
www.linkedin.com/in/tobilobaogunlobiyi
@QuincyLarson - Да, у меня все еще есть эта проблема в Chrome 58.
@ tobi10 - Простое обновление просто перезагружает страницу, но не обновляет все; он по-прежнему использует кеш. Чтобы принудительно выполнить полное обновление и игнорировать кеш, нажмите Ctrl
+ Shift
+ R
. Это избавит вас от необходимости выходить из системы и снова входить в нее.
@paddylandau - У меня снова та же проблема, я застрял на первом упражнении jQuery и пошел в firefox, чтобы выполнить упражнение, а также сделал еще 4 упражнения. Затем я вернулся в Chrome, чтобы продолжить. Я обновился, используя ctrl + shift + R, как вы предлагали, и я вышел из системы и снова вошел в систему, но это показывает, что я застрял на этом первом упражнении. Прилагаю скриншот страницы
@ tobi10 - Думаю, вам придется продолжить работу с Firefox. Я знаю, что это неприятность, так что будем надеяться, что Google скоро исправит эту ошибку.
Спасибо @paddylandau
Пожалуйста, обратитесь к этому комментарию .
Я твердо уверен, что приведенный выше комментарий правильно анализирует то, что здесь происходит.
Скорее всего, это исправлено в staging
потому что мы остановили автоматическое выполнение кода на странице.
@willdanneriv - Спасибо, ваш совет мне
У меня та же проблема, но я собираюсь попробовать ее на Канарских островах; которая является версией Google Chrome для разработчиков. Если это сработает, я отправлю здесь еще одно сообщение, и, возможно, нам всем просто придется переключиться.
Я попробовал все это на Canary, и смог легко закончить без каких-либо ошибок или проблем. У меня Windows 7, и у меня есть текущая версия Google Chrome, так что проблема не только в Windows 10 или старой версии Chrome.
Вы, ребята, можете получить здесь Канарейку, если хотите попробовать. https://www.google.com/chrome/browser/canary.html
У меня также есть это на Vivaldi 1.8.770.56 (стабильный канал) (64-разрядная версия) на Arch Linux - он также основан на Chromium. То же место, что и @ tobi10
У меня была эта проблема в Chrome, но в соответствии с предложением @paddylandau выше я сделал жесткое обновление, и тогда оно сработало. (CMD + SHIFT + R на Mac)
Проблема снова
Привет, это известная проблема. И мы пытаемся найти способы исправить это.
Вместо этого используйте (👍) в открытии сообщения в этой ветке.
Мы хотели бы сохранить эту ветку только для потенциальных решений.
Проблема возникает в Chrome версии 58.0.3029.96 (64-разрядная версия).
Проблема не возникает в Firefox версии 53.0.2 (32-бит).
Старайтесь не использовать JavaScript.
У меня были те же проблемы, что и замена JavaScript: void (0) на # решила мою проблему.
Спасибо.
В понедельник, 8 мая 2017 г., в 19:09, priyasjoshi notifications@github.com
написал:
Старайтесь не использовать JavaScript.
У меня были такие же проблемы, как при замене JavaScript: void (0) на #
решил мою проблему.-
Вы получили это, потому что оставили комментарий.
Ответьте на это письмо напрямую, просмотрите его на GitHub
https://github.com/freeCodeCamp/freeCodeCamp/issues/13727#issuecomment-300032774 ,
или отключить поток
https://github.com/notifications/unsubscribe-auth/AT1eCNOnLJ8N0nN5JHiBNCx-e4cFc42Cks5r37zDgaJpZM4MS57P
.
Пожалуйста, терпите нас, пока мы пытаемся это исправить.
из сегодняшнего разговора основной команды:
Поэтому я считаю, что нам, возможно, придется повторить логику бета-версии. В основном, удаление решения из uri при чтении, отключение автоматического запуска и добавление блокировки кода
Некоторый код, используемый в производстве для удаления и блокировки кода uri (решение в uri)
https://github.com/freeCodeCamp/freeCodeCamp/blob/staging/client/sagas/code-storage-saga.js#L98
Используемые утилиты для этого:
получить код из uri:
https://github.com/freeCodeCamp/freeCodeCamp/blob/staging/client/utils/code-uri.js#L52
удалить код uri:
https://github.com/freeCodeCamp/freeCodeCamp/blob/staging/client/utils/code-uri.js#L66
Здесь, в эпике, который обрабатывает создание файлов до их перехода в iframe, мы проверяем, будет ли код запускаться автоматически.
https://github.com/freeCodeCamp/freeCodeCamp/blob/staging/client/sagas/build-challenge-epic.js#L24
Здесь мы блокируем кнопку выполнения в классическом виде и отображаем кнопку разблокировки
примечание: у меня есть серьезный рефакторинг, который сломает все эти ссылки. Я обновлю их в отдельном комментарии, когда этот PR будет объединен в
Спасибо @BerkeleyTrue ,
@raisedadead здорово - спасибо за вашу помощь. Пожалуйста, держите нас в курсе и дайте нам знать, если вам понадобится резервная копия.
В прошлый вторник мы с @raisedadead изучали эту проблему. Я делюсь нашими находками здесь, дополненными тем, что потом нашел сам. Я надеюсь, что это поможет понять, почему мы считаем, что это способ решения этой проблемы.
Эта проблема _не_ воспроизводится в бета-версии freeCodeCamp, в любом браузере и с любым кодом.
Используя код, представленный в первоначальном отчете, эта проблема _is_ воспроизводится в Chrome 57 и Chrome 58 (текущий), но _не_ в Chrome 59 (Chrome Beta) или Chrome 60 (Chrome Canary).
На этой строчке мы включаем плагин xxsFilter для шлема. Он устанавливает заголовок X-XXS-Protection
в 1; mode=block
. Он там уже два года.
Давайте еще раз посмотрим на ошибку:
Аудитор XSS заблокировал доступ к https://www.freecodecamp.com/challenges/add-a-submit-button-to-a-form# ? Solution = solution-here, поскольку исходный код сценария был найден в запрос. Аудитор был включен, поскольку сервер не отправил заголовок «X-XSS-Protection».
Это меня смущает. Мы всегда отправляли этот заголовок, он определенно присутствует в ответе, но по-прежнему говорит, что его нет. Мое лучшее предположение относительно того, почему это происходит: заголовок отправляется для страницы /add-a-submit-button-to-a-form
. Проблема возникает на /add-a-submit-button-to-a-form#?solution=solution-here
, который он почему-то считает другим. Я считаю, что это может быть ошибка в Chrome.
В Chrome 57 отсутствующий заголовок был изменен по умолчанию на 1; mode=block
, а 1
также будет обрабатываться как 1; mode=block
[источник] . Вот почему мы начали замечать эту проблему в этой версии. Я еще не обнаружил, что источник этой проблемы больше не присутствует в Chrome 59. Я не уверен, исправили ли они только нашу конкретную проблему или они откатили свое изменение с версии 57.
Вот краткое изложение того, что делает аудитор XSS (или, по крайней мере, насколько я понимаю): он смотрит на URL-адрес и исходный код страницы. Если он обнаружит сценарий (или что-то еще, что кажется вредоносным) в URL-адресе, который он также находит в HTML, он заблокирует страницу. [источник 1] [источник 2] [источник 3]
Правильным и самым простым решением будет установка заголовка X-XXS-Protection
на 0
. Однако мы пробовали это, поскольку этот заголовок не обрабатывается (я не понимаю, почему), это не работает. Альтернативным решением, которое было предложено сейчас, было бы удалить код из URL-адреса, чтобы URL-адрес больше не влиял на страницу, и аудитор XSS не волновался. Я думаю, что будет сложно заставить эту работу работать в производственной версии, но я считаю, что это должно решить проблему. Я считаю, что это то, над чем работает
Спасибо за понимание и отличное обобщение того, что мы отладили на днях. Да, на продакшене немного сложно, обновлю как можно скорее.
Добавление этого "--disable-xss-auditor" в целевое поле ярлыка Chrome заставило меня работать.
У меня это не сработало в Chrome или Firefox (54.0b12). Пришлось прибегнуть к использованию IE.
Это было исправлено как в бета-версии, так и на основном веб-сайте.
Удачного кодирования!
Самый полезный комментарий
Я могу воспроизвести это с помощью Chrome 57 как на бета-версии, так и на рабочем сайте.
Версия, в которой это можно воспроизвести, - 57.0.2987.88. Из блога Chrome Release 9 марта:
Ошибка:
Здесь упоминается, что ошибка, которую мы видим, действительно вызвана функциональностью, включенной в Chrome 57.
Предупреждение, похоже, вызвано наличием формы в iframe.
Вот сообщение на StackOverflow с предложением, как решить эту проблему.
Я тестировал, как Codepen с этим справляется. Там он отлично работает. Некоторые заметные отличия:
ALLOWALL
в Codepen,SAMEORIGIN
в FCC. Думаю, это вряд ли причина, но может быть связано.1; mode=block
в FCC, но отсутствует в Codepen. Думаю, именно поэтому он работает на Codepen, но не на FCC./ cc @ freeCodeCamp / moderators Похоже, это может стать для нас очень серьезной проблемой, но я не уверен. Кто-нибудь может помочь в расследовании?