Страница недоступна. Chrome обнаружил необычный код.

Приветствую всех на своём блоге. Совсем недавно я столкнулся с проблемой, на устранение которой у меня ушло некоторое время, а теперь, когда она решена я подумал, что было бы неплохо помочь остальным – вдруг для кого-то это будет полезно.

Дело в том, что некоторое время назад во время редактирования статей и комментариев у меня начала появляться ошибка с заголовком «Страница недоступна». Подобная ошибка появлялась во всех популярных браузерах в том числе в Google Chrome и в Опере.

Текст ошибок был везде одинаковым.

Ошибка в Opera:

Страница недоступна

Браузер Chrome обнаружил на этой странице необычный код и заблокировал его, чтобы защитить ваши данные (например, пароли, а также номера телефонов и банковских карт).

Попробуйте открыть главную страницу сайта.

Ошибка в Гугле:

После появления данной проблемы я сразу же начал гуглить и как оказалось впоследствии, ошибка появлялась на разных сайтах, под управлением разных CMS. Это могла быть и Joomla и WordPress и Drupal, пострадали даже незаурядные самописные PHP блоги.

У меня несколько сайтов и что самое интересное, проблема наблюдалась только на тех, где были установлены SSL-сертификаты. Грубо говоря, если сайт работает по http:// протоколу - с ним всё нормально, но, если сайт работает по защищённому https:// протоколу - велика вероятность того, что вы тоже увидите подобную ошибку.

Когда мои поиски закончились, я узнал о существовании весьма своеобразного, и я бы даже сказал экзотичного HTTP заголовка X-XSS-Protection, который отвечает за безопасность и управляет поведением браузера.

Для того, чтобы избавиться от назойливой ошибки, достаточно установить патч - добавить на проблемную страницу или в конфигурационный файл config.php следующий заголовок:

PHP:

    header('X-XSS-Protection:  1');
    

Почему появляется подобная ошибка?

Существует так называемый межсайтовый скриптинг – это своего рода атака, при которой вредоносный код может быть размещён на взламываемой странице.

В некоторых версиях браузеров на основе Chromium значение принимающего такие атаки фильтра по умолчанию установлены на 0 - т.е. он выключен. Хотя в принципе браузер в состоянии самостоятельно обнаружить подобную угрозу и очистить часть вредоносного запроса.

Установите указанный заголовок для XSS фильтра, и ошибка вас больше не будет тревожить.

Это может быть интересно: