我有一个表单,允许您嵌入 YouTube 视频,当它发布时,它会呈现 YouTube 视频。问题是 Safari(自 5.0 起)有一个 XSS Auditor 会抛出以下消息:Refused to load an object. URL found within request: "http://www.youtube.com/v/ZO7EiX5TqLY?version=3".
对于正常的 GET 后记来说它工作得很好。有什么办法可以在不重定向的情况下解决这个问题吗?
我解决了这个问题abarth
在#webkit上:
Safari 5 正在尝试阻止反射型 XSS 攻击,通过不允许嵌入出现在 POSTed 参数中。
我可以做两件事:
- 我可以发送
X-XSS-Protection: 0
header,这表明我知道自己在做什么,并且可以自己防范 XSS。
- I can not在参数中发送嵌入代码,这对我来说实际上是一个可行的选择,因为嵌入代码无论如何都会被后端删除。
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)