+
81
-

今天添加代码出现server did not send an 'X-XSS-Protection' header

php

because its source code was found within the request. The auditor was enabled as the server did not send an 'X-XSS-Protection' header.

请问这是什么问题,需要怎么修改

高手回复

+
1
-

这是由于XSS过滤器/审核员的自动过滤机制,防止渲染从浏览器传出去的代码

在Internet Explorer 8中,引入了针对XSS攻击的防御。这种浏览器内置的功能称为XSS过滤器,旨在缓解反映的XSS。Webkit后来有了自己的版本,叫做Chrome和Safari的XSS审计。这个想法很简单:如果一个恶意的输入被反映在文档中,反射的部分将被删除或整个文档根本不会被渲染。

关于设置,网站可以明确地包含X-XSS-Protection标题,告诉浏览器过滤器/审核员应该如何操作。Thare有三种可能的选择:

0(禁用XSS过滤器/审核员)

1(删除不安全的部分;如果没有X-XSS-Protection标题,这是默认设置)

1; mode = block(如果找到XSS,则不要渲染文档)


by ppzhuzhu
我知道答案,我要回答