JavaScriptを有効にしてください

【調査】ERR_BLOCKED_BY_XSS_AUDITOR 原因調査

 ·  ☕ 3 分で読めます

前提

体感的には先週くらいからTwitterを見ていると特定サイトでの特定挙動において以下のエラーが一部のブラウザにて発生しているようで、それに関する調査及び調査中記事です。

内容はすべて調査中のものであり、仮定や仮説が含まれており実際と異なる場合がございます。

必要に応じて自身で検証するなどしてください。

経緯

エラーメッセージは「ERR_BLOCKED_BY_XSS_AUDITOR」以上。

— S5 (@stereotype5) 2017年5月12日

(もうすこし前後のTweetがあった気がしますが)ニコニコ大百科上にて編集を行った際に ERR_BLOCKED_BY_XSS_AUDITOR とエラーになりページのレンダリングがストップしてしまうというもの

@tes_tid ところで今ニコ百って編集できます? 投稿しようとすると変な画面が出てきて編集ができない・・・ pic.twitter.com/qS0NjDHyCe

— 静かに暮らしたいPK (@PKbrainshock04) 2017年5月18日

この問題、大百科サイドの問題なのか単純にiframeの挙動の問題なのかどっちなのかは気になる所。 https://t.co/UOt96hxo6h

— S5 (@stereotype5) 2017年5月18日

@stereotype5 httpsページだからどこかにhttp(広告含む)があった瞬間にブロックされる。

— CATMAX(クレーマー) (@catmaniax) 2017年5月18日

※いくつか本筋と外れるTweetは除いています。必要に応じて元Tweetをたどるなどしてください。

今のところの再現条件:

httpsのページで大百科の記事編集時に
postで投げるコンテンツのなかにiframeの記述があること

— boot (ぶーと) (@bootjp) 2017年5月18日

srcのhttpsを許可しても結局NGになるからそこは関係ない。submit後のページにくろーむ様が気に入らないiframeがあるとつぶされる。

— はくはく (@haku2) 2017年5月18日

vivaldi, Iron, chrominium あたりで再現できればおおよそどこが問題か切り分けできそう

— boot (ぶーと) (@bootjp) 2017年5月18日

○ edge
○ IE11 (大百科:×)
○ safari (ios)
○ Firefox (大百科:OK)
× Chrome
× opera
× Vival 1.9.818.50
× Iron 58.0.3050.0
× Chromium 60.0.3104.0 (Dev)

— CATMAX(クレーマー) (@catmaniax) 2017年5月18日

私自身が検証したわけじゃないけど、これがその通りだと仮定すると
chromium系がだめってことかな

— boot (ぶーと) (@bootjp) 2017年5月18日

chromiumだったらコード読めば条件とかはわかるのでは

— boot (ぶーと) (@bootjp) 2017年5月18日

https://t.co/Jb38PM9asG

「FIXME: This check seems out of place.」

— boot (ぶーと) (@bootjp) 2017年5月19日

flash関連のタグをputするとERR_BLOCKED_BY_XSS_AUDITORになって死ねって言われてる気分

— ふたつき そうめん (@futatski) 2017年6月27日

***

共有

bootjp / ぶーと
著者
bootjp / ぶーと
ミドルウェアエンジニア / 7年後に分散データベース研究の世界に貢献することを目指して


目次