2017年5月26日金曜日

Chromeの ERR_BLOCKED_BY_XSS_AUDITOR 原因

56で実装され、57で強化され問題となっている ERR_BLOCKED_BY_XSS_AUDITOR。
大手サービスやソフトも片っ端から問題発生となり、大騒ぎですね。

どうも判定ルールが公開されていないため、試行錯誤で皆回避方法をさがしています。
一番やっちゃいけないのは、セキュリティーをOFFにする方法。 これだけは絶対にやっちゃダメ。

原因の多くが iframe で、検索するとこの情報しかみつかりませんでした。
私が開発を手掛けているサービスで発生したケースが見つからないので載せておきます。

JavaScriptによる submit()実行において、送信内容(input内容)に form要素があり、かつaction属性が存在する場合に発生となりました。

回避方法は、JavaScriptで送信するまえに文字列置換を行い、サーバー側で元に戻してあげることです。

色々な情報をあわせると、JavaScriptでsubmit()する時の制限が厳しくなった感じです。
iframeとformの扱いに注意ですね。