我试过这个:
<meta http-equiv="X-XSS-Protection" content="0">
在<head>标签但没有运气.我试图摆脱讨厌的IE阻止跨站点scirpting
我们有一个Ruby on Rail应用程序,允许用户将大量视频嵌入代码保存到我们的数据模型中.表单允许用户输入任意数量的嵌入代码,按提交并将所有内容保存到数据库.然后,应用程序将用户重定向到包含所有嵌入代码列表的页面.
此工作流程适用于IE,Safari和Firefox.
但是,在Chrome上,首次加载页面时,页面上不会显示任何视频.我在控制台中看到以下错误,每个视频一次:
拒绝执行JavaScript脚本.在请求中找到的脚本的源代码.
在后续页面加载时,视频加载正常,并且不显示错误.
当我查看源代码时,会重新加载页面以进行视图源操作,因此我无法判断源是否按预期方式通过.
当我检查视频应该在的块上的元素时,我看到以下内容:
<iframe src="" width="400" height="225" frameborder="0">
<html>
<head></head>
<body></body>
</html>
</iframe>
对于iframe样式嵌入代码以及YoutTube和Vimeo视频的"旧式"标记代码,都会出现这种情况.
有关:
在Chrome上我Refused to execute a JavaScript script. Source code of script found within request.发布包含域名的数据后发现错误(另请注意,任何一个页面都缺少javascript).
<form action="/badpage2.html" method="post">
<input type="hidden" name="name" value="href=%22http://www.w3.org/%22"/>
<input type="submit" name="submit"/>
</form>
<!DOCTYPE html>
<html>
<head>
<base href="http://www.w3.org/"/>
</head>
<body>
<img src="Icons/w3c_home" alt="">
</body>
</html>
如果你直接去badpage2.html图像会显示,但如果你去看它badpage1.html,图像将不会显示(基本标签不起作用).
这是Chrome XSS检测中的错误吗?如果不是,我该如何绕过这个?对发布的数据进行编码只是为了绕过这个过滤器似乎很愚蠢.
编辑:
就我而言,发送的帖子值是更新页面内容的一部分.如果它包含恰好包含在其中使用的域名<base>(如本例所示),它将触发禁用<base>标记的XSS检测.