दिलचस्प पोस्ट
ASP.NET MVC, यूआरएल रूटिंग: अधिकतम पथ (यूआरएल) की लंबाई php mysqli तैयार बयान की तरह बंडल आइडेंटिफ़ायर और पुश प्रमाणपत्र … एपीएस-एंटरटेनमेंट एंटाइटेलमेंट त्रुटि एनएटी में कचरा संग्रहण को समझना CentOS पर जावा एसडीके कैसे स्थापित करें? मैं Node.js को कैसे अपडेट करूं? जावा प्रतिनिधियों? पायथन में, इसका क्या मतलब है यदि कोई ऑब्जेक्ट सबस्क्रिप्टेबल है या नहीं? पोस्टमैन के साथ एफसीएम – अनुरोध में एक प्रमाणीकरण कुंजी (एफसीएम टोकन) अनुपलब्ध था '\ r': कमांड नहीं मिला – .bashrc / .bash_profile क्लास से XSD स्कीमा कैसे तैयार करें? IOS में एक नेविगेशन बार के साथ एक दृश्य के टैब बार को कैसे छुपाने / दिखाने के लिए? स्ट्रिंग से संख्याओं को निकालने के लिए और ints की एक सरणी कैसे प्राप्त करें? django 1.5 – स्थिर टैग के अंदर चर का उपयोग कैसे करें गतिशील रूप से सी # विधि की सामग्री को बदलते हैं?

JavaScript स्क्रिप्ट को निष्पादित करने के लिए मना कर दिया। अनुरोध के भीतर स्रोत कोड प्राप्त किया गया

वेबकिट में मुझे अपने जावास्क्रिप्ट पर निम्न त्रुटि मिलती है:

JavaScript स्क्रिप्ट को निष्पादित करने के लिए मना कर दिया। अनुरोध के भीतर स्रोत कोड प्राप्त किया गया

कोड जावास्क्रिप्ट स्पिनर के लिए है, एएससीआईआई आर्ट देखें।

कोड ठीक काम करने के लिए इस्तेमाल किया जाता है, और अभी भी कैमिनो और फ़ायरफ़ॉक्स में सही ढंग से काम कर रहा है। त्रुटि केवल तब फेंका जा सकती है जब पृष्ठ को किसी POST के द्वारा सहेजा जाता है और फिर GET के माध्यम से पुनर्प्राप्त किया जाता है। यह क्रोम / मैक और सफारी / मैक दोनों में होता है

किसी को पता है इसका क्या मतलब है, और यह कैसे तय है?

वेब के समाधान से एकत्रित समाधान "JavaScript स्क्रिप्ट को निष्पादित करने के लिए मना कर दिया। अनुरोध के भीतर स्रोत कोड प्राप्त किया गया"

एक्सएसएस (क्रॉस-साइट स्क्रिप्टिंग) हमलों को रोकने के लिए यह सुरक्षा उपाय है

यह तब होता है जब कुछ जावास्क्रिप्ट कोड एक HTTP पोस्ट अनुरोध के माध्यम से सर्वर पर भेजा जाता है, और उसी कोड को HTTP प्रतिक्रिया के माध्यम से वापस आता है। यदि क्रोम इस स्थिति का पता लगाता है, स्क्रिप्ट को चलाने से इनकार कर दिया जाता है, और आपको Refused to execute a JavaScript script. Source code of script found within request एरर मैसेज से Refused to execute a JavaScript script. Source code of script found within request Refused to execute a JavaScript script. Source code of script found within request

सुरक्षा के बारे में इस ब्लॉग पोस्ट को गहराई में देखें: नई सुरक्षा सुविधाएँ

प्रभावित पृष्ठ पर गैर-मानक HTTP हेडर X-XSS-Protection भेजकर यह "सुविधा" अक्षम हो सकती है।

 X-XSS-Protection: 0 

संक्षिप्त जवाब : जावास्क्रिप्ट को अपना आरंभिक प्रस्तुत करने के बाद पृष्ठ को रीफ्रेश करें, या उस यूआरएल पर क्लिक करें जो आप संपादित कर रहे पेज को प्रदर्शित करेंगे।

लंबे उत्तर : क्योंकि आपके द्वारा प्रपत्र में भरकर पाठ में जावास्क्रिप्ट शामिल है, और ब्राउज़र को जरूरी नहीं पता है कि आप जावास्क्रिप्ट के स्रोत हैं, यह ब्राउज़र के लिए सुरक्षित है यह मानने के लिए कि आप इस जेएस का स्रोत नहीं हैं, और इसे चलाने नहीं

एक उदाहरण : मान लीजिए कि मैंने आपको कुछ ईमेल के साथ एक जावास्क्रिप्ट के साथ अपना ईमेल या फेसबुक लिंक दिया था। और कल्पना करो कि जावास्क्रिप्ट आपके सभी दोस्तों को मेरे शांत लिंक को संदेश देगा। इसलिए, उस लिंक को प्राप्त करने का गेम बस हो जाता है, जावास्क्रिप्ट भेजने का एक स्थान ढूंढें, जैसे कि उसे पृष्ठ में शामिल किया जाएगा

क्रोम और अन्य वेबकिट ब्राउजर्स इस जोखिम को कम करने की कोशिश करते हैं, जो कि जवाब में मौजूद किसी भी जावास्क्रिप्ट को निष्पादित न करें, अगर यह अनुरोध में मौजूद था। मेरा निशंसणीय हमला विफल हो जाएगा क्योंकि आपका ब्राउज़र उस जेएस को कभी नहीं चलाएगा

आपके मामले में, आप इसे एक प्रपत्र फ़ील्ड में सबमिट कर रहे हैं। प्रपत्र फ़ील्ड के पोस्ट से पृष्ठ का एक रेंडर होगा जो जावास्क्रिप्ट प्रदर्शित करेगा, जिससे ब्राउज़र को चिंता हो सकती है। यदि आपका जावास्क्रिप्ट वास्तव में सहेजा जाता है, फिर भी, उस फॉर्म को सबमिट किए बिना उसी पृष्ठ को मारने से उसे निष्पादित करने की अनुमति मिलेगी।

जैसा कि अन्य लोगों ने कहा है, ऐसा तब होता है जब एक HTTP प्रतिसाद में JavaScript और / या HTML स्ट्रिंग होती है जो अनुरोध में भी थी। यह आम तौर पर किसी प्रपत्र फ़ील्ड में जेएस या एचटीएमएल को दर्ज करने के कारण होता है, लेकिन यूआरएल के मापदंडों को मैन्युअल रूप से tweaking जैसे अन्य तरीकों से ट्रिगर किया जा सकता है

इस के साथ समस्या यह है कि बुरे इरादों वाला कोई भी जो भी मूल्य जे एस के रूप में चाहे जो भी डाल सकता है, उस यूआरएल को दुर्भावनापूर्ण JS मान से जोड़कर, और आपके उपयोगकर्ताओं को परेशानी का कारण बन सकता है।

लगभग हर मामले में, एचटीएमएल द्वारा प्रतिक्रिया को एन्कोडिंग से तय किया जा सकता है, हालांकि अपवाद हैं। उदाहरण के लिए, यह एक <script> टैग के अंदर सामग्री के लिए सुरक्षित नहीं होगा। अन्य विशिष्ट मामलों को अलग तरह से नियंत्रित किया जा सकता है – उदाहरण के लिए, यूआरएल एन्कोडिंग द्वारा यूआरएल में इनपुट को बेहतर सेवा प्रदान करते हैं।

जैसे केंडल हॉपकिंस का उल्लेख किया गया है, ऐसे कुछ मामले भी हो सकते हैं, जब आप जावास्क्रिप्ट को फार्म आदानों को क्रियान्वित करने के लिए चाहते हैं , जैसे जेएसएफडेल जैसे अनुप्रयोग बनाने के लिए। उन मामलों में, मैं सुझा था कि आप अपने बैकएंड कोड में इनपुट के माध्यम से कम से कम साफ़ करें, इससे पहले कि आपको इसे वापस लिखना होगा। उसके बाद, आप XSS रुकावट (कम से कम क्रोम) को रोकने के लिए जिस पद्धति का उल्लेख किया है, उसका उपयोग कर सकते हैं, लेकिन ध्यान रखें कि यह आपको हमलावरों के लिए खोल रहा है।

मैं इस hacky PHP चाल इस्तेमाल किया बस के बाद मैं डेटाबेस करने के लिए प्रतिबद्ध है, लेकिन स्क्रिप्ट मेरे _GET अनुरोध से गाया जाता है इससे पहले:

 if(!empty($_POST['contains_script'])) { echo "<script>document.location='template.php';</script>"; } 

यह मेरे लिए सबसे सस्ता समाधान था