Приветствую всех на своём блоге. Совсем недавно я столкнулся с проблемой, на устранение которой у меня ушло некоторое время, а теперь, когда она решена я подумал, что было бы неплохо помочь остальным – вдруг для кого-то это будет полезно.
Дело в том, что некоторое время назад во время редактирования статей и комментариев у меня начала появляться ошибка с заголовком «Страница недоступна». Подобная ошибка появлялась во всех популярных браузерах в том числе в
Google Chrome и в
Опере.
Текст ошибок был везде одинаковым.
Ошибка в Opera:
Страница недоступна
Браузер Chrome обнаружил на этой странице необычный код и заблокировал его, чтобы защитить ваши данные (например, пароли, а также номера телефонов и банковских карт).
Попробуйте открыть главную страницу сайта.
Ошибка в Гугле:
Страница недоступна
Браузер Chrome обнаружил на этой странице необычный код и заблокировал его, чтобы защитить ваши данные (например, пароли, а также номера телефонов и банковских карт).
Попробуйте открыть главную страницу сайта.
ERR_BLOCKED_BY_XSS_AUDITOR
После появления данной проблемы я сразу же начал гуглить и как оказалось впоследствии, ошибка появлялась на разных сайтах, под управлением разных CMS. Это могла быть и
Joomla и
WordPress и
Drupal, пострадали даже незаурядные самописные PHP блоги.
У меня несколько сайтов и что самое интересное, проблема наблюдалась только на тех, где были установлены SSL-сертификаты. Грубо говоря, если сайт работает по
http:// протоколу - с ним всё нормально, но, если сайт работает по защищённому
https:// протоколу - велика вероятность того, что вы тоже увидите подобную ошибку.
Когда мои поиски закончились, я узнал о существовании весьма своеобразного, и я бы даже сказал экзотичного HTTP заголовка
X-XSS-Protection, который отвечает за безопасность и управляет поведением браузера.
Для того, чтобы избавиться от назойливой ошибки, достаточно установить патч - добавить на проблемную страницу или в конфигурационный файл
config.php следующий заголовок:
PHP:
header('X-XSS-Protection: 1');
Почему появляется подобная ошибка?
Существует так называемый межсайтовый скриптинг – это своего рода атака, при которой вредоносный код может быть размещён на взламываемой странице.
В некоторых версиях браузеров на основе Chromium значение принимающего такие атаки фильтра по умолчанию установлены на 0 - т.е. он выключен. Хотя в принципе браузер в состоянии самостоятельно обнаружить подобную угрозу и очистить часть вредоносного запроса.
Установите указанный заголовок для XSS фильтра, и ошибка вас больше не будет тревожить.
Это может быть интересно: