Freecodecamp: Chrome отображает сообщение об ошибке в iframe - обнаружен необычный код
Обновить
Пожалуйста, используйте Firefox, пока мы работаем над исправлением. Приносим извинения за неудобства.
Задача При добавлении кнопки отправки в форму возникла проблема.
Пользовательский агент: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) <strong i="11">Chrome/57.0.2987.88</strong> Safari/537.36 .
_Описание отредактировано @systimotic для пояснения_
В рамке телефона отображается предупреждение. В нем говорится: «Chrome обнаружил необычный код на этой странице и заблокировал его, чтобы защитить вашу личную информацию (например, пароли, номера телефонов и кредитные карты)».
Код:
<link href="https://fonts.googleapis.com/css?family=Lobster" rel="stylesheet" type="text/css">
<style>
.red-text {
color: red;
}
h2 {
font-family: Lobster, Monospace;
}
p {
font-size: 16px;
font-family: Monospace;
}
.thick-green-border {
border-color: green;
border-width: 10px;
border-style: solid;
border-radius: 50%;
}
.smaller-image {
width: 100px;
}
</style>
<h2 class="red-text">CatPhotoApp</h2>
<p>Click here for <a href="#">cat photos</a>.</p>
<a href="#"><img class="smaller-image thick-green-border" alt="A cute orange cat lying on its back. " src="https://bit.ly/fcc-relaxing-cat"></a>
<p>Things cats love:</p>
<ul>
<li>cat nip</li>
<li>laser pointers</li>
<li>lasagna</li>
</ul>
<p>Top 3 things cats hate:</p>
<ol>
<li>flea treatment</li>
<li>thunder</li>
<li>other cats</li>
</ol>
<form action="/submit">
</form>
<form action="/submit-cat-photo">
<input type="text" placeholder="cat photo URL">
</form>
natuan62
Все 72 Комментарий
@ leekirby6, спасибо за вопрос. Не могли бы вы подробнее рассказать, где вы видели это уведомление? Снимок экрана также может помочь, если вы можете его предоставить. Когда я открываю страницу, я не получаю никаких уведомлений от Chrome. Благодаря!
erictleung
4 мар. 2017
О, я забыл про скриншот.
Когда я использую firefox, ничего не происходит.
natuan62
4 мар. 2017
Это может быть связано с бета-версией Chrome. См. № 12655. У меня он отлично работает со стабильным Chrome. @ leekirby6 Можете попробовать со стабильным Chrome?
szib
4 мар. 2017
Спасибо за доверие. Я предпочитаю бета-версию, чем стабильную:
Я использовал firefox!
natuan62
4 мар. 2017
Означает ли эта ошибка, что туристы увидят ее в будущей версии Chrome? Если это так, мы, вероятно, должны убедиться, что это исправлено до выпуска.
systimotic
5 мар. 2017
Я могу воспроизвести это с помощью Chrome 57 как на бета-версии, так и на рабочем сайте.
Версия, в которой это можно воспроизвести, - 57.0.2987.88. Из блога Chrome Release 9 марта:
Команда Chrome рада объявить о продвижении Chrome 57 на стабильный канал - 57.0.2987.98 для Windows, Mac и Linux. Это будет развернуто в ближайшие дни / недели.
Ошибка:
Аудитор XSS заблокировал доступ к https://www.freecodecamp.com/challenges/add-a-submit-button-to-a-form# ? Solution = solution-here, поскольку исходный код сценария был найден в запрос. Аудитор был включен, поскольку сервер не отправил заголовок «X-XSS-Protection».
Здесь упоминается, что ошибка, которую мы видим, действительно вызвана функциональностью, включенной в Chrome 57.
Предупреждение, похоже, вызвано наличием формы в iframe.
Вот сообщение на StackOverflow с предложением, как решить эту проблему.
Я тестировал, как Codepen с этим справляется. Там он отлично работает. Некоторые заметные отличия:
- X-Frame-Options :
ALLOWALLв Codepen,SAMEORIGINв FCC. Думаю, это вряд ли причина, но может быть связано. - X-XSS-Protection - это
1; mode=blockв FCC, но отсутствует в Codepen. Думаю, именно поэтому он работает на Codepen, но не на FCC.
/ cc @ freeCodeCamp / moderators Похоже, это может стать для нас очень серьезной проблемой, но я не уверен. Кто-нибудь может помочь в расследовании?
systimotic
12 мар. 2017
@systimotic, спасибо, что
Удалось ли вам добиться в этом прогресса?
@BerkeleyTrue - это что-то, что вы могли бы исправить и быстро развернуть в производственной
QuincyLarson
13 мар. 2017
В пн, 13 марта 2017 г., в 18:44, Куинси Ларсон [email protected]
написал:
@systimotic https://github.com/systimotic благодарит за то, что доставил это в
всеобщее внимание. Да - это серьезная проблема. Если Google выйдет
это обновление полностью решит наши задачи. Итак, нам нужно исправить
это как можно скорее.Удалось ли вам добиться в этом прогресса?
@BerkeleyTrue https://github.com/BerkeleyTrue это то, что вы
можно исправить и развернуть в производство очень быстро, или у вас есть кто-то
ум для делегирования этого?-
Вы получаете это, потому что подписаны на эту ветку.
Ответьте на это письмо напрямую, просмотрите его на GitHub
https://github.com/freeCodeCamp/freeCodeCamp/issues/13727#issuecomment-286147082 ,
или отключить поток
https://github.com/notifications/unsubscribe-auth/AX9USGhYYpx9VbE14GEjc5ELIWUePYCaks5rlWRggaJpZM4MS57P
.
iansibindi
13 мар. 2017
У меня есть идея, я подниму PR против бэкапа / мастера, если моя теория сработает.
Если это сработает, я могу внедрить его и для постановки
Bouncey
13 мар. 2017
Но, пожалуйста, если у кого-то есть идея, продолжайте работать над ней.
Это похоже на критическую проблему
Bouncey
13 мар. 2017
@QuincyLarson @systimotic @Bouncey Глядя на это, (согласно ссылке @timo ) Chrome меняет поведение по умолчанию X-XSS-Protection: 1 на X-XSS-Protection: 1; mode=block . Это полностью блокирует запуск страницы, когда исходный код страницы находится внутри самого запроса (то есть код-url).
Раньше поведение хрома по умолчанию заключалось в том, чтобы отфильтровать части скрипта, которые считались бы вредными. Мы обошли это, кодируя определенные части, на которые хром будет жаловаться (действия формы и т. Д.), А затем декодируем их перед внедрением в iframe.
Теперь поведение по умолчанию будет полностью блокировать страницу. Это то, что вызывает проблему (я считаю).
Я загрузил Chrome canary и ~ не смог воспроизвести проблему (это версия 59). ~ Я смог воспроизвести ее, добавив тег скрипта в код-uri.
BerkeleyTrue
13 мар. 2017
Для исправления достаточно просто изменить X-XSS-PROTECTION на 1 ;
BerkeleyTrue
13 мар. 2017
Я не могу воспроизвести на бета-версии, но могу на производстве
Chrome 57 стал стабильным Chrome для Ubuntu
Bouncey
13 мар. 2017
Я не могу воспроизвести локально на резервной копии / мастере
Bouncey
13 мар. 2017
попробуйте отправить обратно через серверный элемент управления некоторый код html и JavaScript на сервер, и вы увидите проблему.
1cm
16 мар. 2017
случилось со мной в Chrome версии 57.0.2987.110 (64-бит) Win10 64bit
driftshift
20 мар. 2017
Всем привет,
пожалуйста, помогите мне лучше понять это.
Я бизнес-аналитик компании-разработчика программного обеспечения. У нас возникла проблема, заключающаяся в том, что после обновления Chrome 57.0.2987.98 мы получаем сообщение об ошибке «Эта страница не работает. Chrome обнаружил необычный код на этой странице и заблокировал его, чтобы защитить вашу личную информацию (например, пароли, номера телефонов и кредитные карты). . ERR_BLOCKED_BY_XSS_AUDITOR "- в основном то, что вы здесь обсуждаете.
Мои вопросы будут такими:
- это ошибка или особенность?
- если это ошибка - где я могу получить информацию, когда она будет исправлена?
У нас есть ряд клиентов, которые страдают от этой ошибки, и нам нужно понять, следует ли нам ждать исправления Chrome или внедрять исправление на нашей стороне.
dimapct
21 мар. 2017
@dimapct Это репозиторий FreeCodeCamp.com, а не Chrome. Вопросы, связанные с программным обеспечением для бизнеса и Chrome, задавайте команде разработчиков Chrome, а не нам.
BerkeleyTrue
21 мар. 2017
@QuincyLarson
Настройки Chrome> расширенные настройки> Защита от опасных сайтов> выкл.
работал у меня некоторое время
udbhavs
22 мар. 2017
Я только что наткнулся на этот отчет об ошибке. Интересно, может ли мой опыт пролить свет на это.
Когда я пишу сообщение на форумах Ubuntu - абсолютно добросовестном сайте - Chrome часто, но не всегда, выдает мне эту ошибку, когда я нажимаю «Предварительный просмотр сообщения».
Я пытался найти образец, но он кажется совершенно произвольным; Я могу ввести какую-то формулировку, которую Chrome принимает, и другую формулировку, которую он не делает, и я не вижу между ними значительной разницы. Например, иногда Chrome блокирует сообщение цитатами, а иногда нет.
Я использую Chrome 57 Stable (из официальных репозиториев Chrome) в Linux Ubuntu.
(Я пока приму предложение отключать его немного нервирует!)
paddylandau
27 мар. 2017
К сожалению, предложенное решение от @QuincyLarson у меня не сработало.
Однако есть дополнительная информация, которая, я надеюсь, поможет:
https://bugs.chromium.org/p/chromium/issues/detail?id=702542
https://bugs.chromium.org/p/chromium/issues/detail?id=706038
https://productforums.google.com/forum/#!msg/chrome/4MUJd75N4Jw/8uDOUMgrEQAJ
paddylandau
4 апр. 2017
@paddylandau Спасибо.
Кажется, проблема решена путем явного добавления заголовков x-xss-protection к нашему csp. У кого-нибудь есть время, чтобы проверить это?
BerkeleyTrue
4 апр. 2017
Проблема с добавлением этого заголовка заключается в том, что это означает снижение безопасности ради Chrome. Мне это кажется странным.
paddylandau
5 апр. 2017
На самом деле, если вы установите заголовок в 1, вы просто сохраните безопасность и не позволите Chrome v57 повысить безопасность. Единственное реальное отличие состоит в том, что v57 шумно блокирует некоторый код, который v56- и другие браузеры до сих пор молча блокировали.
darkporpoise
5 апр. 2017
У меня все еще возникает эта проблема :(
nvnellore
7 апр. 2017
У меня все еще возникает эта проблема при создании элемента формы.
Rogerup
10 апр. 2017
Что интересно, когда вы завершаете урок в другом браузере, возвращаетесь в Chrome и «просматриваете решение» этого урока, код читается без ошибок, и вы можете продолжить следующий урок. Есть предположения?
UnwrittenCanvas
11 апр. 2017
10 апреля 2017 г., 10:21, "Роджерио Пенчел" [email protected]
написал:
У меня все еще возникает эта проблема :(
-
Вы получаете это, потому что подписаны на эту ветку.
Ответьте на это письмо напрямую, просмотрите его на GitHub
https://github.com/freeCodeCamp/freeCodeCamp/issues/13727#issuecomment-293018041 ,
или отключить поток
https://github.com/notifications/unsubscribe-auth/AV-9X3RBc4-MBzYNChdMp0_uZrywTADUks5rumUPgaJpZM4MS57P
.
Lurches
11 апр. 2017
Я запустил это в Firefox, и у меня не было проблем
nvnellore
11 апр. 2017
@nvnellore Это относится только к Chromium и, соответственно, к Chrome. Ни один другой браузер не дает такой проблемы.
paddylandau
11 апр. 2017
Я видел этот ERR_BLOCKED_BY_XSS_AUDITOR, когда добавляю контент с
mcgargle
12 апр. 2017
Извините - следует уточнить ... пытаюсь просто обновить содержимое корзины нашего магазина.
Как только это будет включено
тогда мы получаем ошибку ERR_BLOCKED_BY_XSS_AUDITOR.
mcgargle
12 апр. 2017
Испытал это прямо сейчас.
Решение @udbhavs работало нормально.
Хром 57
Windows 10 - 64 бит
ssisaias
15 апр. 2017
Версия Chrome 57.0.2987.133 (64-разрядная)
64-разрядная версия Windows 8.1 Pro
freakshowtm
19 апр. 2017
@ssisaias - обходной путь (не решение) от @udbhavs может работать, но это потому, что он сознательно нарушает безопасность! Это не разумный обходной путь и, конечно же, не подходит для рабочего компьютера или любого другого компьютера, на котором хранится конфиденциальная информация.
paddylandau
19 апр. 2017
Проблема, похоже, решена путем обновления до версии 58 (версия 58.0.3029.81 beta (64-битная, на моей машине). Я получал ту же ошибку, и мне пришлось перейти к 3 точкам -> около. Под версией была кнопка Мне пришлось нажать, чтобы завершить обновление с v57 до v58.При перезапуске Chrome проблема была решена.
willdanneriv
19 апр. 2017
@willdanneriv Возможно, вам повезло, потому что версия 58 не решила эту проблему для меня. Я все еще получаю ошибку после сегодняшнего обновления.
paddylandau
20 апр. 2017
@paddylandau Возможно. Вы используете бета-версию или стабильную версию?
willdanneriv
20 апр. 2017
@willdanneriv Стабильная. Тот, который сегодня был выпущен для моей машины.
Версия 58.0.3029.81 (64-бит)
Такой же, как у вас.
paddylandau
20 апр. 2017
@paddylandau Вы следовали тому же процессу, что и я, и перезапустили?
Просто прикрываю базы, извините, это не работает для вас.
willdanneriv
20 апр. 2017
@willdanneriv - я использую Linux, а не Windows, поэтому обновления автоматически устанавливаются прямо из официального репозитория Google. Я запустил Chrome только после завершения обновлений; номер версии, который я опубликовал, был скопирован из статьи Chrome "О Google Chrome".
В качестве эксперимента я запрыгнул на компьютер с Windows 10 и попробовал на нем, и у меня возникла та же проблема (конечно, Chrome полностью обновлен).
Может быть, форум, на котором вы это пробовали, случайно сегодня добавил решение, как описано выше @BerkeleyTrue ?
paddylandau
20 апр. 2017
У меня также возникла эта проблема на моем Mac под управлением OS Sierra с Chrome 58.0.3029.81. Я немного не понимаю, где публиковать, но, надеюсь, это сработает!
savemeaspark
22 апр. 2017
Я также сталкиваюсь с той же проблемой в Mac OS.
MuruganPushparaj
24 апр. 2017
У меня была такая же проблема сейчас в Chrome, затем я перешел на Firefox, чтобы продолжить, так как Chrome мешал мне прогрессировать. Я советую, если у вас есть другой браузер, сделайте то же самое. Однако я все еще думаю, что мы должны быть уверены, что наша личная информация здесь в безопасности.
tobi10
24 апр. 2017
Кто-нибудь все еще сталкивается с этим в Chrome или Firefox? Я только что обновился до Chrome 58 и не могу воспроизвести проблему ни там, ни в последней версии Firefox.
QuincyLarson
25 апр. 2017
Если вы столкнулись с проблемой, войдите в другой браузер и попробуйте то же самое. Я столкнулся с проблемой в хроме, а затем попробовал в Safari, я только что сделал.
MuruganPushparaj
25 апр. 2017
Кто-нибудь все еще сталкивается с этим в Chrome или Firefox?
Да, я могу воспроизвести с Chrome 58 на главном веб-сайте, но та же проблема работает нормально на бета-сайте.
Возможно, это путь к прогрессу, отличный от того, что уже определил Беркли.
raisedadead
25 апр. 2017
Но я заметил проблему. Я оставил Chrome и продолжил работу с Firefox, когда
увидел сообщение об ошибке, поэтому я сделал еще несколько упражнений в Firefox, однако
карта этого конкретного упражнения не была отмечена как выполненная. Это только что появилось
как будто его пропустили.
Итак, я вернулся в Chrome, чтобы сделать это, и ошибка была исправлена. Тем не менее, я
не мог продолжить с того места, где остановился на Firefox, я обновил вкладку и
Я также закрыл вкладку и снова открыл ее, но мне показали следующее упражнение
это не упражнение, над которым я сейчас работаю.
Затем я вышел из своей учетной записи в Chrome, снова вошел в систему и смог
чтобы выбрать упражнение, которое я хочу сделать. Я думаю, что процесс можно завершить
лучше, так что если я обновлю свою вкладку, я перейду к упражнению, которое я остановил
в. Спасибо за помощь ребята.
Во вторник, 25 апреля 2017 г., 7:34, mrugesh mohapatra < notifications@github.com
написал:
Кто-нибудь все еще сталкивается с этим в Chrome или Firefox?
Да, я могу воспроизвести с Chrome 58 на главном веб-сайте, но та же проблема
работает нормально на бета-сайте.Может быть, это еще один путь к прогрессу, отличный от того, что уже есть в Беркли.
идентифицированы.-
Вы получили это, потому что оставили комментарий.
Ответьте на это письмо напрямую, просмотрите его на GitHub
https://github.com/freeCodeCamp/freeCodeCamp/issues/13727#issuecomment-296928274 ,
или отключить поток
https://github.com/notifications/unsubscribe-auth/AZgA8UshOMmM5_yVN3POvedvIIVyoCL9ks5rzZPkgaJpZM4MS57P
.
-
Тобилоба Огунлобийи
+234 816 699 8393
www.linkedin.com/in/tobilobaogunlobiyi
tobi10
25 апр. 2017
@QuincyLarson - Да, у меня все еще есть эта проблема в Chrome 58.
@ tobi10 - Простое обновление просто перезагружает страницу, но не обновляет все; он по-прежнему использует кеш. Чтобы принудительно выполнить полное обновление и игнорировать кеш, нажмите Ctrl + Shift + R . Это избавит вас от необходимости выходить из системы и снова входить в нее.
paddylandau
25 апр. 2017
@paddylandau - У меня снова та же проблема, я застрял на первом упражнении jQuery и пошел в firefox, чтобы выполнить упражнение, а также сделал еще 4 упражнения. Затем я вернулся в Chrome, чтобы продолжить. Я обновился, используя ctrl + shift + R, как вы предлагали, и я вышел из системы и снова вошел в систему, но это показывает, что я застрял на этом первом упражнении. Прилагаю скриншот страницы
tobi10
27 апр. 2017
@ tobi10 - Думаю, вам придется продолжить работу с Firefox. Я знаю, что это неприятность, так что будем надеяться, что Google скоро исправит эту ошибку.
paddylandau
27 апр. 2017
Спасибо @paddylandau
tobi10
28 апр. 2017
Пожалуйста, обратитесь к этому комментарию .
Я твердо уверен, что приведенный выше комментарий правильно анализирует то, что здесь происходит.
Скорее всего, это исправлено в staging потому что мы остановили автоматическое выполнение кода на странице.
raisedadead
28 апр. 2017
@willdanneriv - Спасибо, ваш совет мне
astoroid
3 мая 2017
У меня та же проблема, но я собираюсь попробовать ее на Канарских островах; которая является версией Google Chrome для разработчиков. Если это сработает, я отправлю здесь еще одно сообщение, и, возможно, нам всем просто придется переключиться.
Я попробовал все это на Canary, и смог легко закончить без каких-либо ошибок или проблем. У меня Windows 7, и у меня есть текущая версия Google Chrome, так что проблема не только в Windows 10 или старой версии Chrome.
Вы, ребята, можете получить здесь Канарейку, если хотите попробовать. https://www.google.com/chrome/browser/canary.html
SenaminBun
3 мая 2017
У меня также есть это на Vivaldi 1.8.770.56 (стабильный канал) (64-разрядная версия) на Arch Linux - он также основан на Chromium. То же место, что и @ tobi10
opalepatrick
3 мая 2017
У меня была эта проблема в Chrome, но в соответствии с предложением @paddylandau выше я сделал жесткое обновление, и тогда оно сработало. (CMD + SHIFT + R на Mac)
frankmullen
4 мая 2017
Проблема снова
SellersC
4 мая 2017
Привет, это известная проблема. И мы пытаемся найти способы исправить это.
Пожалуйста, НЕ комментируйте эту ветку, подтверждающую проблему (поскольку она больше не требуется).
Вместо этого используйте (👍) в открытии сообщения в этой ветке.
Мы хотели бы сохранить эту ветку только для потенциальных решений.
raisedadead
5 мая 2017
Проблема возникает в Chrome версии 58.0.3029.96 (64-разрядная версия).
Проблема не возникает в Firefox версии 53.0.2 (32-бит).
Jason-Prince
9 мая 2017
Старайтесь не использовать JavaScript.
У меня были те же проблемы, что и замена JavaScript: void (0) на # решила мою проблему.
priyasjoshi
9 мая 2017
Спасибо.
В понедельник, 8 мая 2017 г., в 19:09, priyasjoshi notifications@github.com
написал:
Старайтесь не использовать JavaScript.
У меня были такие же проблемы, как при замене JavaScript: void (0) на #
решил мою проблему.-
Вы получили это, потому что оставили комментарий.
Ответьте на это письмо напрямую, просмотрите его на GitHub
https://github.com/freeCodeCamp/freeCodeCamp/issues/13727#issuecomment-300032774 ,
или отключить поток
https://github.com/notifications/unsubscribe-auth/AT1eCNOnLJ8N0nN5JHiBNCx-e4cFc42Cks5r37zDgaJpZM4MS57P
.
Jason-Prince
9 мая 2017
Текущий обходной путь - использовать Firefox вместо Chrome.
Пожалуйста, терпите нас, пока мы пытаемся это исправить.
raisedadead
17 мая 2017
из сегодняшнего разговора основной команды:
Поэтому я считаю, что нам, возможно, придется повторить логику бета-версии. В основном, удаление решения из uri при чтении, отключение автоматического запуска и добавление блокировки кода
BerkeleyTrue
23 мая 2017
Некоторый код, используемый в производстве для удаления и блокировки кода uri (решение в uri)
https://github.com/freeCodeCamp/freeCodeCamp/blob/staging/client/sagas/code-storage-saga.js#L98
Используемые утилиты для этого:
получить код из uri:
https://github.com/freeCodeCamp/freeCodeCamp/blob/staging/client/utils/code-uri.js#L52
удалить код uri:
https://github.com/freeCodeCamp/freeCodeCamp/blob/staging/client/utils/code-uri.js#L66
Здесь, в эпике, который обрабатывает создание файлов до их перехода в iframe, мы проверяем, будет ли код запускаться автоматически.
https://github.com/freeCodeCamp/freeCodeCamp/blob/staging/client/sagas/build-challenge-epic.js#L24
Здесь мы блокируем кнопку выполнения в классическом виде и отображаем кнопку разблокировки
примечание: у меня есть серьезный рефакторинг, который сломает все эти ссылки. Я обновлю их в отдельном комментарии, когда этот PR будет объединен в
BerkeleyTrue
23 мая 2017
Спасибо @BerkeleyTrue ,
raisedadead
24 мая 2017
@raisedadead здорово - спасибо за вашу помощь. Пожалуйста, держите нас в курсе и дайте нам знать, если вам понадобится резервная копия.
QuincyLarson
25 мая 2017
В прошлый вторник мы с @raisedadead изучали эту проблему. Я делюсь нашими находками здесь, дополненными тем, что потом нашел сам. Я надеюсь, что это поможет понять, почему мы считаем, что это способ решения этой проблемы.
Эта проблема _не_ воспроизводится в бета-версии freeCodeCamp, в любом браузере и с любым кодом.
Используя код, представленный в первоначальном отчете, эта проблема _is_ воспроизводится в Chrome 57 и Chrome 58 (текущий), но _не_ в Chrome 59 (Chrome Beta) или Chrome 60 (Chrome Canary).
На этой строчке мы включаем плагин xxsFilter для шлема. Он устанавливает заголовок X-XXS-Protection в 1; mode=block . Он там уже два года.
Давайте еще раз посмотрим на ошибку:
Аудитор XSS заблокировал доступ к https://www.freecodecamp.com/challenges/add-a-submit-button-to-a-form# ? Solution = solution-here, поскольку исходный код сценария был найден в запрос. Аудитор был включен, поскольку сервер не отправил заголовок «X-XSS-Protection».
Это меня смущает. Мы всегда отправляли этот заголовок, он определенно присутствует в ответе, но по-прежнему говорит, что его нет. Мое лучшее предположение относительно того, почему это происходит: заголовок отправляется для страницы /add-a-submit-button-to-a-form . Проблема возникает на /add-a-submit-button-to-a-form#?solution=solution-here , который он почему-то считает другим. Я считаю, что это может быть ошибка в Chrome.
В Chrome 57 отсутствующий заголовок был изменен по умолчанию на 1; mode=block , а 1 также будет обрабатываться как 1; mode=block [источник] . Вот почему мы начали замечать эту проблему в этой версии. Я еще не обнаружил, что источник этой проблемы больше не присутствует в Chrome 59. Я не уверен, исправили ли они только нашу конкретную проблему или они откатили свое изменение с версии 57.
Вот краткое изложение того, что делает аудитор XSS (или, по крайней мере, насколько я понимаю): он смотрит на URL-адрес и исходный код страницы. Если он обнаружит сценарий (или что-то еще, что кажется вредоносным) в URL-адресе, который он также находит в HTML, он заблокирует страницу. [источник 1] [источник 2] [источник 3]
Правильным и самым простым решением будет установка заголовка X-XXS-Protection на 0 . Однако мы пробовали это, поскольку этот заголовок не обрабатывается (я не понимаю, почему), это не работает. Альтернативным решением, которое было предложено сейчас, было бы удалить код из URL-адреса, чтобы URL-адрес больше не влиял на страницу, и аудитор XSS не волновался. Я думаю, что будет сложно заставить эту работу работать в производственной версии, но я считаю, что это должно решить проблему. Я считаю, что это то, над чем работает
systimotic
26 мая 2017
Спасибо за понимание и отличное обобщение того, что мы отладили на днях. Да, на продакшене немного сложно, обновлю как можно скорее.
raisedadead
26 мая 2017
Добавление этого "--disable-xss-auditor" в целевое поле ярлыка Chrome заставило меня работать.
Barryzachoppa
28 мая 2017
У меня это не сработало в Chrome или Firefox (54.0b12). Пришлось прибегнуть к использованию IE.
accidentalpurpose
2 июн. 2017
Это было исправлено как в бета-версии, так и на основном веб-сайте.
Удачного кодирования!
raisedadead
10 июн. 2017
Смежные вопросы
EthanDavis
·
3Комментарии
bagrounds
·
3Комментарии
kokushozero
·
3Комментарии
jurijuri
·
3Комментарии
danielonodje
·
3Комментарии
Самый полезный комментарий
Я могу воспроизвести это с помощью Chrome 57 как на бета-версии, так и на рабочем сайте.
Версия, в которой это можно воспроизвести, - 57.0.2987.88. Из блога Chrome Release 9 марта:
Ошибка:
Здесь упоминается, что ошибка, которую мы видим, действительно вызвана функциональностью, включенной в Chrome 57.
Предупреждение, похоже, вызвано наличием формы в iframe.
Вот сообщение на StackOverflow с предложением, как решить эту проблему.
Я тестировал, как Codepen с этим справляется. Там он отлично работает. Некоторые заметные отличия:
ALLOWALLв Codepen,SAMEORIGINв FCC. Думаю, это вряд ли причина, но может быть связано.1; mode=blockв FCC, но отсутствует в Codepen. Думаю, именно поэтому он работает на Codepen, но не на FCC./ cc @ freeCodeCamp / moderators Похоже, это может стать для нас очень серьезной проблемой, но я не уверен. Кто-нибудь может помочь в расследовании?