Hatena::Groupptech

ぷちてく RSSフィード

Archive
 
ProfileProfile

2017-04-05

iframeがChromiumのXSS Filterに引っかかる

07:38

書いた後拾えたんだけどどうもバグっぽい。Chromeでも起こると思う。

2017-03-17 に 「誤爆してるぞ」 って Issue が立つもアサインのまま止まってる、というのが5月半ばでの現状。

I have the same problem which seems to be due to having a you tube link on my web page.

If I try to update the page with Chrome then I get this XSS.Auditor message.


youtube is a Google product!!

https://bugs.chromium.org/p/chromium/issues/detail?id=702542#c23

「同じバグ起こってんだけどさ、Youtubeはお前のとこのサービスだろ!」とお怒り。ごもっとも。

とりあえず Firefox など他のブラウザ使って回避する、というのが一番簡単な解決方法です。

sandbox 属性付けてみたけどダメだった。では詳細どうぞ。


さっき上げた記事、プレビューしようとしたら Chromium が「pass, カード情報が盗まれるぞ」みたいな事言ってきて仕方なく Firefox で投稿。

はてなダイアリーはてなグループ日記で iframe 貼ると再現した。「ニコニコ大百科でも起こる」とのこと。ツイートしてくれた方ありがとうございます。

さっき貼ったHatena::Let

<iframe border="0" frameborder="0" height="130" src="http://let.st-hatelabo.com/noromanba/let.iframe?embed=1&code_id=hLHW56bVtuAQ" width="500"></iframe>

Youtubeでもなるのでどうしようもない。

<iframe width="560" height="315" src="https://www.youtube-nocookie.com/embed/HhDTdd7VTY0" frameborder="0" allowfullscreen></iframe>

incognito でも試したので拡張機能のせいではない。

ERR_BLOCKED_BY_XSS_AUDITOR

f:id:noromanba:20170405075942p:image

This page isn’t working

Chrome detected unusual code on this page and blocked it to protect your personal information (for example, passwords, phone numbers, and credit cards).
Try visiting the site's homepage.
ERR_BLOCKED_BY_XSS_AUDITOR
http://d.hatena.ne.jp/noromanba/edit

代替

影響大きそうなのでダイアリーにも一般人向け書いた。

とりあえず Firefox とか代替で投稿するのが楽。

頑張るなら動画系だと API 使えれば img と a タグでどうとでもなる。

<a href="https://www.youtube.com/watch?v=Y4f1cdNv_M8" target="_blank">
  <img src="https://img.youtube.com/vi/Y4f1cdNv_M8/sddefault.jpg" alt="thumbnail" title="東京事変 - 空が鳴っている - YouTube">
  </a>
[https://www.youtube.com/watch?v=Y4f1cdNv_M8:title]
iframeあるとChromeで記事更新できないかも - (有)掛軸裏スキマ産業

こんな感じ。軽くていい。

thumbnail

東京事変 - 空が鳴っている - YouTube

参考。

カードみたいなやつはキャプチャダルいので、なんかサービスあるんじゃないすかね。embed.ly の画像版みたいな物体とか。

元も子もないけど iframe 重いだけのゴミだと思ってるので使えない方がうれしい。

X-XSS-Protection

HTTP ヘッダ の X-XSS-Protection が制御に干渉するようだけど、

header("X-XSS-Protection: 0");
https://stackoverflow.com/questions/17016960/chromiums-xss-auditor-refused-to-execute-a-script#17017013

これ何かというと、ブラウザに「XSS フィルタ切れ」と言ってるのでマトモな解決方法にならない。

X-XSS-Protection: 0
X-XSS-Protection: 1
X-XSS-Protection: 1; mode=block
X-XSS-Protection: 1; report=<reporting-uri>
0
    Disables XSS filtering.
1
    Enables XSS filtering (usually default in browsers). If a cross-site scripting attack is detected, the browser will sanitize the page (remove the unsafe parts).
1;mode=block
    Enables XSS filtering. Rather than sanitizing the page, the browser will prevent rendering of the page if an attack is detected.
1; report=<reporting-URI>  (Chromium only)
    Enables XSS filtering. If a cross-site scripting attack is detected, the browser will sanitize the page and report the violation. This uses the functionality of the CSP report-uri directive to send a report.
X-XSS-Protection - HTTP | MDN

YouTube はきちんとしてるでしょ、と思ったらやっぱりやってた。

$ HEAD https://www.youtube.com/watch?v=Y4f1cdNv_M8 | grep -i xss
X-XSS-Protection: 1; mode=block; report=https://www.google.com/appserve/security-bugs/log/youtube
$

この辺見るのが厳しくなったのかな、というふわっとした感じ。

何か書いた直後から検索経由でアクセスすごい飛んできてて(当社比)、こりゃ誰も書いてなさそう…と思いました。



Environment

Chromium 57.0.2987.98 (Developer Build) Built on Ubuntu , running on Ubuntu 16.04 (32-bit)
Revision a6a06b78087c9fdb4b12fe0ac1b87fdc10179f8b
OS Linux
JavaScript V8 5.7.492.63
Flash 25.0.0.127 /usr/lib/adobe-flashplugin/libpepflashplayer.so
User Agent Mozilla/5.0 (X11; Linux i686) AppleWebKit/537.36 (KHTML, like Gecko) Ubuntu Chromium/57.0.2987.98 Chrome/57.0.2987.98 Safari/537.36
Command Line /usr/lib/chromium-browser/chromium-browser --ppapi-flash-path=/usr/lib/adobe-flashplugin/libpepflashplayer.so --ppapi-flash-version=25.0.0.127 --enable-pinch --flag-switches-begin --overscroll-history-navigation=0 --disable-smooth-scrolling --disable-features=CredentialManagementAPI,MaterialDesignHistory --flag-switches-end
Executable Path /usr/lib/chromium-browser/chromium-browser
Profile Path /home/noro/.config/chromium/Default

> chrome://version/

$ apt policy chromium-browser
chromium-browser:
  Installed: 57.0.2987.98-0ubuntu0.16.04.1276
  Candidate: 57.0.2987.98-0ubuntu0.16.04.1276
  Version table:
 *** 57.0.2987.98-0ubuntu0.16.04.1276 500
        500 http://ppa.launchpad.net/canonical-chromium-builds/stage/ubuntu xenial/main i386 Packages
        100 /var/lib/dpkg/status
     56.0.2924.76-0ubuntu0.16.04.1268 500
        500 http://ftp.jaist.ac.jp/pub/Linux/ubuntu xenial-updates/universe i386 Packages
        500 http://ftp.jaist.ac.jp/pub/Linux/ubuntu xenial-security/universe i386 Packages
     49.0.2623.108-0ubuntu1.1233 500
        500 http://ftp.jaist.ac.jp/pub/Linux/ubuntu xenial/universe i386 Packages
Experimental Credential Manager API

Command Line のところ見ていて、flag で --disable-features=CredentialManagementAPI,MaterialDesignHistory となっていたので、

"Experimental Credential Manager API" 切ってるのが怪しいかと思い Enable にしてみた。Command Line から消えてるの確認。

再実験で同じく XSS Auditor でブロックされる結果に。戻した。

f:id:noromanba:20170406010403p:image

> chrome://flags/#enable-credential-manager-api

関係無さそう。

トラックバック - http://ptech.g.hatena.ne.jp/noromanba/20170405