понедельник, 24 июня 2013 г.

The XSS Auditor refused to execute a script in

Обнаружил на сайте баг. При сохранении отваливается css и в консоль выдает примерно следующее:

The XSS Auditor refused to execute a script in 'http://site.com' because its source code was found within the request. The auditor was enabled as the server sent neither an 'X-XSS-Protection' nor 'Content-Security-Policy' header.

Как я понял, это новая "фича" хрома. Надеюсь, со временем доведут до ума.
Лечится отправкой с сервера заголовка X-XSS-Protection: 0

Пример:

header('X-XSS-Protection: 0');

2 комментария:

  1. это не баг это XSS пролезет. Скажи хрому спасибо что он это обрабатывает за тебя.

    ОтветитьУдалить