Ergebnis 1 bis 6 von 6

Thema: Err_blocked_by_xss_auditor

  1. #1

    Frage Err_blocked_by_xss_auditor

    Wenn ich Beiträge in denen ein Link ist auf "Bearbeiten" klicke und dann auf "Erweitert" sagt mir Google Chrome "ERR_BLOCKED_BY_XSS_AUDITOR" und liefert mir eine blockiert Seite zurück.

    Chrome 61
    vbulletin 4.2.5
    verschiedene Addons von DragonByte installiert.

    Der Fehler besteht schon länger und kam auch schon, bevor wir die Addons installiert hatten.
    Auch in älteren Google Chrome Versionen kam dieser Fehler.

    Als Editor ist "Erweiterter Editor - WYSIWYG-Funktionen" eingestellt.

    Was kann ich machen, damit dieser Fehler nicht mehr kommt ohne den Editor zu ändern?

  2. #2
    vB-Guru Avatar von Jaydee
    Registriert seit
    29.05.2008
    Ort
    ...tief im Westen....
    Alter
    56
    Beiträge
    13.201
    Das ist offenbar ein bekannter Bug im Chrome, allerdings wohl hauptsächlich in Verbindung mit HTML-Inhalten (teils auch Javascript, wie man liest).
    Hast Du evtl. HTML in Deinem Forum erlaubt, oder Add-ons installiert, die das ermöglichen?
    Die allgemeine EMpfehlung im Internrt ist einfach, einen anderen Browser zu benutzen, wobei das ja nicht die Lösung sein kann.
    Jedenfalls tritt dasselbe Problem ebenfalls mit anderer Forensoftware wie Woltlab oder XenForo in Verbindung mit den letzten Chrome Versionen auf.
    Liebe Grüße
    Jörg


    Spezifische Fragen zum MySQLDumper bitte nicht hier, sondern im MSD-Support-Forum stellen.
    Aktuell verfügbare Version: MSD 1.24.4

    Die deutsche Rechtschreibung ist Freeware. Das heißt, Du kannst sie kostenlos nutzen.
    Allerdings ist sie nicht Open Source, d.h. Du darfst sie nicht verändern oder in veränderter Form veröffentlichen.



  3. #3
    Ne, HTML ist nicht erlaubt, auch habe ich keine Addons die dies tun würden.
    Das es bei XenForo auch ist, habe ich auch schon rausgefunden.
    Scheinbar gab es einige Verbesserungen bei Chrome 58 was den XSS_AUDITOR angeht, aber war wohl nicht genügend.

    Ich werd mal schauen, ob es für den CKEditor entsprechende fixes gibt.

    Könnte man natürlich auch noch machen:
    PHP-Code:
    header('X-XSS-Protection:0'); 
    Aber das will ich ehrlich gesagt nicht.


    Test Link um editieren hier zu testen: https://xorbit.de
    [EDIT] Hier im Forum kann ich Bearbeiten und Erweitert klicken.
    Könnte es auch in Zusammenhang mit https stehen?

  4. #4
    vB-Guru Avatar von Jaydee
    Registriert seit
    29.05.2008
    Ort
    ...tief im Westen....
    Alter
    56
    Beiträge
    13.201
    Die Protection entspräche praktisch einer Art Browser-Weiche (da es im Prinzip nur den Chrome betrifft) und das kann man immer sehen wie man will. Manchmal ist es wirklich unumgänglich. Leider, weil es immer noch technische Unterschiede (außerhalb von Standards) zwischen Browsern gibt und man kaum alles mit einer Webseite berücksichtigen kann.

    HTTPS glaube ich eigentlich nicht, da es ja auch Foren gibt, die Zertifikate nutzen und trotzdem keine Probleme mit Chrome haben (bzw. umgekehrt).

    Zum Link: Der funktioniert leider nicht, solange Du keinen Test-Account dazu nennst:
    "Registriere dich jetzt!"
    Liebe Grüße
    Jörg


    Spezifische Fragen zum MySQLDumper bitte nicht hier, sondern im MSD-Support-Forum stellen.
    Aktuell verfügbare Version: MSD 1.24.4

    Die deutsche Rechtschreibung ist Freeware. Das heißt, Du kannst sie kostenlos nutzen.
    Allerdings ist sie nicht Open Source, d.h. Du darfst sie nicht verändern oder in veränderter Form veröffentlichen.



  5. #5
    vBulletin-Germany Team Avatar von pogo
    Registriert seit
    01.06.2001
    Ort
    Hannover
    Alter
    42
    Beiträge
    16.312
    Blog-Einträge
    5
    Interessant auch, dass es bei manchen Seiten auftritt und bei anderen mit identischen Beiträgen nicht. Egal, ob http oder https.

    Wie auch immer.

    Ich habe quasi kleinerzwergs Hinweis genutzt (eigentlich diesen Beitrag erst im Anschluss über Google wiedergefunden ) und ein Plug-in mit den Hook editpost_update_start erstellt.
    Einzige Code darin: header('X-XSS-Protection:0');

    Ich denke nicht, dass das sicherheitstechnisch ein großes Problem ist, diesen "Schutz" beim Ändern von Beiträgen auszuschalten.

    Mein Wunschzettel
    Warum du keine Anhänge herunterladen kannst!
    Suchst du Hacks, Add-ons, Modifikationen, Styles, Buttons und mehr? -> Auf zu vBGo!

  6. #6
    vBGo! Team Avatar von Andreas
    Registriert seit
    14.10.2003
    Alter
    38
    Beiträge
    2.439
    Zitat Zitat von kleinerzwerg Beitrag anzeigen
    Könnte man natürlich auch noch machen:
    PHP-Code:
    header('X-XSS-Protection:0'); 
    Aber das will ich ehrlich gesagt nicht.
    Das wird sich aber ohne größere Umbauarbeiten nicht vermeiden lassen:
    https://bugs.chromium.org/p/chromium...tail?id=703093

    Zitat Zitat von tsepez@chromium.org
    Status: WontFix
    I don't see a way to avoid the issue. This is exactly what a base href injection would look like. Note that in the past, we'd silently strip the base tag, so the page was likely broken either way. They may need to turn the auditor off.

    I'm going to reluctantly wontfix this for now.

Aktive Benutzer

Aktive Benutzer

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •