Chromium XSS аудитор отказался выполнить script

Это сообщение от инспектора Chrome:

Аудитор XSS отказался выполнить script в http://localhost/Disposable Working NOTAS.phpпотому что его исходный код был найден в запросе. Аудитор был включен, поскольку сервер не отправил ни заголовок "X-XSS-Protection" и "Content-Security-Policy".

... У меня есть пара десятков сайтов, сидящих на localhost на моем ноутбуке, которые я использую для большей части рабочего процесса, а в последние пару дней после того, как обновленный Chrome изменил что-то, почти все текстовые поля веб-сайтов 'содержимое больше не сохраняется в файле.

Код, который сохранял внесенные изменения, равномерно разбит; Я ввожу новый текст, нажимаю на сохранении и в моем браузере вместо выполнения файлов ~ записи подпрограмм в script для веб-страницы, в которой я работаю, просто открывается новая пустая страница. Если я тогда ударил спину , текстовое поле по-прежнему показывает только что добавленный контент, но в файле никаких изменений прилагаются.

Ответ 1

Если вы хотите сообщить Chrome об отключении его защиты XSS, вы можете отправить заголовок X-XSS-Protection со значением 0. Поскольку вы, кажется, используете PHP, вы должны добавить это где-нибудь, где он будет всегда выполняться до вывода любого содержимого:

header("X-XSS-Protection: 0");

Ответ 2

Если вы блокируетесь аудитором XSS, вы должны проверить, есть ли у вашего кода уязвимость XSS или нет, прежде чем просто отключить его.

Если вы блокируетесь аудитором XSS, у вас есть вероятность того, что у вас есть уязвимость XSS, и просто не осознал этого. Если вы просто отключите аудитора XSS, вы останетесь уязвимы: он лечит симптомы, а не основное заболевание (основная причина).

Ответ 3

Я столкнулся с той же проблемой, когда недавно изучал XSS. И ниже снимок экрана показывает способ PHP обойти Chrome XSS Auditor.

Просто добавьте заголовок ( "X-XSS-Protection: 0" );