Začínáme s webovými formuláři ASP.NET

Model webových formulářů a způsob vytváření stránek a používání ovládacích prvků

Proč jsou externí prostředky na mé stránce blokované ve verzi Web Live Preview?

Pokud máte nějaké externí zdroje třetích stran, které jsou na vaší stránce, můžete si všimnout, že návrhář v nástroji Web Live Preview zabránil jejich načítání a zobrazuje toto oznámení:

Upozornění blokovaných prostředků

Možná vás zajímá, proč jsou v návrháři zablokovány prostředky a proč se zobrazuje oznámení typu toast. Tento článek vysvětluje, proč jsou prostředky blokované.

Web Live Preview (WLP) je rozšíření sady Visual Studio postavené na prohlížeči BrowserLink. WLP používá BrowserLink k poskytování kanálu pro obousměrnou komunikaci mezi sadou Visual Studio a návrhářem. Tato obousměrná komunikace umožňuje službě WLP poskytovat mnoho funkcí:

  • Synchronizace obsahu a aktuálně vybraného uzlu v návrháři s editorem
  • Přenesením nového obsahu vytvořeného pomocí návrhářského nástroje do editoru
  • Provádění příkazů panelu akcí

Pokud na svou webovou stránku vložíte skripty nebo prostředky od třetí strany, můžete se vystavit riziku potenciálního ohrožení zabezpečení, protože WLP a BrowserLink mohou být zneužity ke spuštění útoku XSS (Cross-Site Scripting).

Pokud prostředek třetí strany může do webu vložit škodlivý kód, může kód použít Browser Link skript vložený do návrháře k volání zpět do Visual Studio. Vložený skript by mohl umožnit kódu napsat libovolný obsah do souborů otevřených v sadě Visual Studio nebo otevřít jiné vektory útoku.

V současné době neexistuje žádný dobrý způsob, jak zabránit útočníkům v komunikaci prostřednictvím skriptu BrowserLink zpět do sady Visual Studio.

Zmírnění ohrožení zabezpečení

Co nejvíce jsme omezili a zmírnili ohrožení zabezpečení z komunikace prostřednictvím skriptu BrowserLink zpět do sady Visual Studio. Některé útoky ale můžou být stále možné prostřednictvím útoku XSS.

Aby se snížila možnost takového útoku XSS, WLP ve výchozím nastavení blokuje načtení všech externích prostředků. Pokud je některý externí prostředek zablokovaný, zobrazí se v pravém horním rohu návrháře následující informační zpráva:

Upozornění o blokovaných prostředcích

(V tomto příkladu používáme následující SVG, což je externí prostředek používaný v ukázkové webové aplikaci: https://visualstudio.microsoft.com/wp-content/uploads/2021/10/Product-Icon.svg)

Pokud je otevřené okno Microsoft Edge DevTools , můžete si také všimnout následující zprávy s vysvětlením, proč se externí prostředek nepodařilo načíst:

Blokované prostředky – Zpráva DevTools

Pokud v notifikaci návrháře vyberete odkaz klikněte sem, zobrazí se následující dialogové okno s doménami blokovaných prostředků automaticky přidanými do seznamu dialogu:

Povolit domény

Všechny prostředky pocházející z externích domén uložených v seznamu dialogového okna nebudou ve výchozím nastavení ve WLP blokovány a načítají se obvyklým způsobem. Po kliknutí na OK návrhář znovu načte stránku a načte všechny dříve blokované prostředky, jejichž domény byly přidány do dialogového okna. Ujistěte se, že povolujete pouze externí domény, které jste ověřili, aby byly důvěryhodné a bezpečné.

Kliknutím na odkaz Web Live Preview – externí domény v informačním okně se otevře stejné dialogové okno, ale žádné z domén blokovaných prostředků se do tohoto dialogu nepřidá.

Povolit domény bez přidání

K dialogu se dostanete také prostřednictvím Tools -> Options -> Web Live Preview -> Allowed external domains during design nastavení. Nastavení dialogového okna jsou pro každou nainstalovanou instanci sady Visual Studio.

Nástroje Možnosti Blokované prostředky

Výstraha

Povolení neblokování domén ve výchozím nastavení by vás mohlo vystavit útokům XSS uvedeným výše. Opět důrazně doporučujeme povolit pouze externí domény, které můžete ověřit jako důvěryhodné a bezpečné.

  • Last updated on