Bir JavaScript komut dosyası yürütmeyi reddetti. Komut dosyasının kaynak kodu istek içinde bulundu

WebKit'te JavaScript'imde aşağıdaki hatayı alıyorum:

Bir JavaScript komut dosyası yürütmeyi reddetti. Komut dosyasının kaynak kodu istek içinde bulundu.

Kod bir JavaScript döndürücüsü içindir, bkz. ASCII Art .

Kullanılan kod sorunsuz çalışıyor ve Camino ve Firefox'ta hala düzgün çalışıyor. Hata, yalnızca sayfa bir POST aracılığıyla kaydedildiğinde ve ardından bir GET aracılığıyla alındığında atılıyor gibi görünüyor. Hem Chrome / Mac hem de Safari / Mac'te olur.

Bunun ne anlama geldiğini ve bunu nasıl düzelteceğini bilen var mı?

XSS (siteler arası komut dosyası oluşturma) saldırılarını önlemek için bir güvenlik önlemidir .

Bu, sunucuya bir HTTP POST isteği aracılığıyla bazı JavaScript kodu gönderildiğinde ve aynı kod HTTP yanıtı aracılığıyla geri geldiğinde gerçekleşir. Chrome bu durumu tespit ederse, komut dosyasının çalışması reddedilir ve hata mesajını alırsınız Refused to execute a JavaScript script. Source code of script found within request.

Ayrıca Güvenlik Derinlikli: Yeni Güvenlik Özellikleri hakkındaki bu blog yayınına bakın .

Bu "özellik" X-XSS-Protection, etkilenen sayfada standart olmayan HTTP başlığı gönderilerek devre dışı bırakılabilir .

X-XSS-Protection: 0

Kısa cevap : JavaScript’i ilk kez gönderdikten sonra sayfayı yenileyin veya düzenlemekte olduğunuz sayfayı görüntüleyecek URL’yi tıklayın.

Uzun cevap : Forma doldurduğunuz metin javascript içerdiğinden ve tarayıcının javascript kaynağı olduğunuzu bilmesine gerek olmadığından, tarayıcının bu JS'nin kaynağı olmadığınızı varsayması daha güvenlidir ve çalıştırmayın.

Bir örnek : Size e-postanıza veya facebook'a içinde javascript içeren bir bağlantı verdiğimi varsayalım. Ve javascript'in tüm arkadaşlarınıza benim harika bağlantıma mesaj göndereceğini hayal edin. Dolayısıyla, bu bağlantının çağrılmasını sağlama oyunu basitleşir, javascript'i sayfaya dahil edilecek şekilde göndermek için bir yer bulun.

Chrome ve diğer WebKit tarayıcıları, istekte mevcutsa yanıtta bulunan herhangi bir javascript'i çalıştırmayarak bu riski azaltmaya çalışır. Hain saldırım, tarayıcınız bu JS'yi asla çalıştırmayacağı için engellenirdi.

Sizin durumunuzda, bir form alanına gönderiyorsunuz. Form alanının Postası, Javascript'i görüntüleyecek sayfanın görüntülenmesine ve tarayıcının endişelenmesine neden olacaktır. Ancak, javascript'iniz gerçekten kaydedilmişse, formu göndermeden aynı sayfaya tıklamak, çalışmasına izin verecektir.

Başkalarının da söylediği gibi, bu, bir HTTP yanıtı istekte bulunan bir JavaScript ve / veya HTML dizesi içerdiğinde gerçekleşir. Bu genellikle bir form alanına JS veya HTML girilmesinden kaynaklanır, ancak URL'nin parametrelerini manuel olarak ayarlamak gibi başka yollarla da tetiklenebilir.

Bununla ilgili sorun, kötü niyetli birinin istediği JS'yi değer olarak koyması, kötü niyetli JS değeri ile bu URL'ye bağlanması ve kullanıcılarınıza sorun çıkarmasıdır.

Hemen hemen her durumda, bu , istisnalar olsa da yanıtı HTML kodlayarak düzeltilebilir . Örneğin bu, bir <script>etiketin içindeki içerik için güvenli olmayacaktır . Diğer özel durumlar farklı şekilde ele alınabilir - örneğin, bir URL'ye girdi enjekte etmek, URL kodlamasıyla daha iyi sunulur.

Kendall Hopkins'in bahsettiği gibi, JSFiddle gibi bir uygulama oluşturmak gibi, JavaScript'in form girdilerinden yürütülmesini istediğiniz birkaç durum olabilir . Bu durumlarda, körü körüne geri yazmadan önce en azından arka uç kodunuzdaki girişi gözden geçirmenizi tavsiye ederim. Bundan sonra, XSS tıkanmasını önlemek için bahsettiği yöntemi kullanabilirsiniz (en azından Chrome'da), ancak bunun sizi saldırganlara açtığını unutmayın.

Bu hileli PHP numarasını veritabanına kaydettikten hemen sonra, ancak komut dosyası isteğimden oluşturulmadan önce kullandım . _GET:

if(!empty($_POST['contains_script'])) { 
    echo "<script>document.location='template.php';</script>";
}

Bu benim için en ucuz çözümdü.