Mam następujące ustawienie:Zapobieganie ERR_BLOCKED_BY_XSS_AUDITOR w chromie
GET /foo - wyświetla formularz z textarea zawierającego znaczniki, które stanowiska do /bar
POST /bar - generuje ERR_BLOCKED_BY_XSS_AUDITOR błąd w Chrome (od niedawna)
Jak mogę to obejść? Czytałem, że powinienem móc użyć nagłówka X-XSS-Protection: 0, aby to obejść, ale czy powinienem wysłać to jako nagłówek żądania lub nagłówek odpowiedzi? Na adresie URL /foo lub /bar?
Musisz wysłać nagłówek odpowiedzi po stronie serwera. Na przykład node.js z Express,
res.header('X-XSS-Protection' , 0);
Albo dla PHP
header("X-XSS-Protection: 0");
Nagłówek odpowiedzi z GET lub POST? –
To nie ma znaczenia. Ta wiadomość o ochronie XSS jest wysyłana z serwera do klienta. Serwer mówi przeglądarce "Ufam we wszystkie twoje pola wejściowe, więc nie powinieneś tego sprawdzać po swojej stronie". –
OK, dzięki. Jeśli jest to instrukcja do przeglądarki, aby nie sprawdzać pól wejściowych, to domyślam się, że GET musi zostać wysłany. –
Możliwy duplikat [Chrome: ERR \ _BLOCKED \ _BY \ _XSS \ _AUDITOR szczegóły] (https://stackoverflow.com/questions/43249998/chrome-err-blocked-by-xss-auditor-details) – kenorb