solucion error err_blocked_by_xss_auditor disable desactivar chrome auditor asp google-chrome xss

google-chrome - error - err_blocked_by_xss_auditor solucion



Chrome: ERR_BLOCKED_BY_XSS_AUDITOR detalles (8)

¡Resolví el problema!

En mi caso cuando hago el submmit, envío el HTML a la acción y en el modelo tenía una propiedad que aceptaba el HTML con "AllowHTML".

La solución consiste en eliminar esta propiedad "AllowHTML" y todo va bien.

Obviamente ya no envío el HTML a la acción porque en mi caso no lo necesito

Obtengo esta bandera de cromo cuando intento publicar y luego obtengo un formulario simple.

El problema es que Developer Console no muestra nada sobre esto y no puedo encontrar el origen del problema yo solo.

¿Hay alguna opción para mirar esto con más detalle? Ver el fragmento de código que desencadena el error para solucionarlo ...


Chrome v58 podría o no solucionar tu problema ... Realmente depende de lo que estés instalando. Por ejemplo, si está tratando de PUBLICAR algunos datos RAW de HTML / XML dentro de un elemento de entrada / selección / texto, su solicitud puede ser bloqueada por el auditor.

En los últimos días abordé este tema en dos escenarios diferentes: un editor WYSIWYG del lado del cliente y un formulario de carga interactiva con algún tipo de vista previa del contenido. Me las arreglé para corregirlos con base64-codificación del HTML sin formato antes de POSTING, y luego descifrándolo en la página PHP receptora. Es muy probable que esto solucione el problema y, lo que es más importante, aumente el nivel de conocimiento del desarrollador con respecto a los datos provenientes de solicitudes POST, lo que lo empujará a adoptar estrategias efectivas de codificación / decodificación de datos y fortalecer su aplicación web contra ataques tipo XSS.

Para codificar en base64 el contenido del lado del cliente , puede usar la función nativa btoa () , que es compatible con la mayoría de los navegadores hoy en día, o una alternativa de terceros, como un complemento jQuery (terminé usando this , que funcionó bien )

Para base64-decodificar los datos POST, puede usar la función Convert.FromBase64String(str) PHP, base64_decode(str) ASP.NET o cualquier otra cosa (dependiendo de su escenario del lado del servidor).

Para obtener más información sobre este tema, también sugiero que lea esta publicación .


Cuando actualizo href desde javascript:void(0) a # en la página de solicitud POST , funciona.

Por ejemplo:

<a href="javascript:void(0)" id="loginlink">login</a>

Cambiar a:

<a href="#" id="loginlink">login</a>


En este caso, ser colaborador por primera vez en los foros de Creative (una especie de construcción de vBulletin ) y reducido a publicar un PM en los moderadores antes del acceso al foro, es fácil para uno resumir la naturaleza del problema de los más populares. respuestas arriba. El comando era

http://forums.creative.com/private.php?do=insertpm&pmid=

Y como se describió anteriormente, los datos reales eran "datos brutos de HTML / XML dentro de un elemento de entrada / selección / textarea".

El requisito general para el manejo de dicho error (o función) en el extremo del usuario es algún tipo de ajuste rápido o giro. En esta publicación se analiza la opción de borrar el caché, restablecer la configuración de Chrome, crear un nuevo usuario o reintentar la operación con una nueva versión beta. También se sugirió que uno lanza una nueva instancia con lo siguiente:

google-chrome-stable --disable-xss-auditor

El lanzamiento realmente funcionó en esta edición W10 1703 Chrome 061 después de esta versión modificada:

chrome --disable-xss-auditor

Sin embargo, al volver a iniciar sesión en el sitio y volver a intentar la publicación, se generó el mismo error. Quizás la sintaxis quiere refinarse o algo más está mal.

Entonces parecía razonable lanzar Edge y volver a publicar desde allí, lo que resultó ser un problema en absoluto.


Es un error de Chrome. El único remedio es usar FireFox hasta que solucionen este error de Chrome. El auditor de XSS haciendo una página basura, que funcionó bien durante 20 años, parece ser un síntoma, no una causa.


Esto puede ayudar en algunas circunstancias. Modifique el archivo httpd.conf Apache y agregue

ResponseHeader set X-XSS-Protection 0

Puede haberse corregido en la Version 58.0.3029.110 (64-bit) .


La forma simple de eludir este error en el desarrollo es enviar encabezado al navegador

Coloque el encabezado antes de enviar datos al navegador.

En php puede enviar este encabezado para omitir este error, enviar referencia de encabezado :

header(''X-XSS-Protection:0'');

En ASP.net puede enviar este encabezado y enviar una referencia de encabezado :

HttpContext.Response.AddHeader("X-XSS-Protection","0"); or HttpContext.Current.Response.AddHeader("X-XSS-Protection","0");

En el nodejs enviar encabezado, enviar referencia de encabezado :

res.writeHead(200, {''X-XSS-Protection'':0 }); // or express js res.set(''X-XSS-Protection'', 0);


Me di cuenta de que si hay un apóstrofo en el texto Chrome lo bloqueará.