Helllo,
最近我在控制台中得到了这个错误:
XSS审计员拒绝执行中的脚本,因为其源代码在请求中找到代码。由于服务器未发送"X-XSS-Protection"标头。
我读到了这里的问题,讲述了如何获得相同的回答。但我不认为这是我的问题。这是我得到的:
管理面板->编辑产品(例如.com/Admin/produkty/upravit/10)
- 文本输入
- text区域+编辑
- ckfinder
提交表单后(表单操作:example.com/admin/produkty/upravit/10)
- 我将所有内容放入DB,然后重定向到(example.com/admin/produkty/zobrazit)
我看不出这里提出的问题有任何相似之处。
更重要的是,我只在少数产品上买到它。有些工作正常,有些不正常,但没有或任何其他html标记。
更重要的是,我在开发子域得到了它,它在那里工作得很好。所以我没主意了。。。。
还有一个测试:它只在狩猎中进行。在铬上工作没有问题
您需要设置X-Xss-Protection
标头来指定审计员的行为。要设置的可能值:
X-Xss-Protection 1; mode=block;
X-Xss-Protection 1
X-Xss-Protection 0
根据您的需要,您可以考虑禁用它,这是最后一个选项,但要注意禁用XSS Auditor的安全影响。