質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.50%
Chrome

Google Chromeは携帯、テレビ、デスクトップなどの様々なプラットフォームで利用できるウェブブラウザです。Googleが開発したもので、Blink (レンダリングエンジン) とアプリケーションフレームワークを使用しています。

Q&A

解決済

1回答

3470閲覧

【Chrome】POSTで画面を再表示するとブラウザのXSS対策のエラーが出る

tomoyuki123

総合スコア273

Chrome

Google Chromeは携帯、テレビ、デスクトップなどの様々なプラットフォームで利用できるウェブブラウザです。Googleが開発したもので、Blink (レンダリングエンジン) とアプリケーションフレームワークを使用しています。

0グッド

0クリップ

投稿2017/08/02 03:22

ECCUBE2系のデザイン管理>PC>ヘッダー/フッター設定においてChromeで登録編集をすると「ERR_BLOCKED_BY_XSS_AUDITOR」と表示され画面の再表示ができません。

調べると登録編集自体はできていて、POSTで再表示するときにエラーになるようです。

HTML

1<h2>ヘッダー編集</h2> 2<form name="form_header" id="form_header" method="post" action="?" > 3 <input type="hidden" name="transactionid" value="c425f3f53f8c18335f809119ade4152416a112de" /> 4 <input type="hidden" name="mode" value="" /> 5 <input type="hidden" name="division" value="header" /> 6 <input type="hidden" name="header_row" value="13" /> 7 <input type="hidden" name="device_type_id" value="10" /> 8 <textarea id="header-area" class="top" name="header" rows="13" style="width: 100%;"></textarea> 9 <div class="btn-area disp_mode_design_header_regist"> 10 <ul> 11 <li><a class="btn-action disp_mode_design_header_regist" href="javascript:;" name='subm' onclick="eccube.fnFormModeSubmit('form_header','regist','',''); return false;"><span class="btn-next">登録する</span></a></li> 12 </ul> 13 </div> 14</form> 15 16<h2>フッター編集</h2> 17<form name="form_footer" id="form_footer" method="post" action="?" > 18 <input type="hidden" name="transactionid" value="c425f3f53f8c18335f809119ade4152416a112de" /> 19 <input type="hidden" name="mode" value="" /> 20 <input type="hidden" name="division" value="footer" /> 21 <input type="hidden" name="footer_row" value="13" /> 22 <input type="hidden" name="device_type_id" value="10" /> 23 <textarea id="footer-area" class="top" name="footer" rows="13" style="width: 100%;"></textarea> 24 <div class="btn-area disp_mode_design_header_regist"> 25 <ul> 26 <li><a class="btn-action disp_mode_design_header_regist" href="javascript:;" name='subm' onclick="eccube.fnFormModeSubmit('form_footer','regist','',''); return false;"><span class="btn-next">登録する</span></a></li> 27 </ul> 28 </div> 29</form>

[調べた結果]
1、textareaにaction要素の記述があると発生する

HTML

1action="<!--{$smarty.const.HTTPS_URL}-->frontparts/login_check.php"

2、<form>タグのaction要素の記述を「action="?"」ではなく以下のようにするとtextareaに何を入れてもPOSTでも再表示される

HTML

1action='?' 2action="" 3action="?q=<script>alert('XSS')</script>"

2のようにformタグの記述を「action=""」にすればとりあえずは解決はするのですが、このchromeの仕様を説明しているサイトなどがあれば教えて頂けますか?

[環境]
ECCUBE2.13
chrome: バージョン: 60.0.3112.78(Official Build) (64 ビット)

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

guest

回答1

0

ベストアンサー

その名の通り、XSS Auditor という保護フィルタですが、57あたりからより厳しくなったようです。

iframeがChromiumのXSS Filterに引っかかる
http://ptech.g.hatena.ne.jp/noromanba/20170405/1491345491

投稿2017/08/03 01:32

x_x

総合スコア13749

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.50%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問