8
我試圖修復我的標題。我看到了兩個錯誤,檢查網絡請求時,我訪問我頁面:X-FRAME-OPTIONS顯示兩次,X-XSS-PROTECTION顯示爲錯誤
1)X-FRAME-OPTIONS: SAMEORIGIN顯示兩次:
Cache-Control:no-cache
Connection:Keep-Alive
Content-Encoding:gzip
Content-Type:text/html; charset=UTF-8
Date:Wed, 04 Oct 2017 12:58:30 GMT
Keep-Alive:timeout=3, max=1000
Server:Apache
Set-Cookie:laravel_session=eifQ%3D%3D; expires=Wed, 04-Oct-2017 14:58:30 GMT; Max-Age=7200; path=/; secure; httponly
Set-Cookie:XSRF-TOKEN=n0%3D; expires=Wed, 04-Oct-2017 14:58:30 GMT; Max-Age=7200; path=/
Transfer-Encoding:chunked
X-CDN:Incapsula
X-Frame-Options:SAMEORIGIN * <-------------- HERE
X-Frame-Options:SAMEORIGIN * <-------------- HERE
X-Iinfo:7-6626704-6651371 NNNN CT(0 0 0) RT(1507121414380 495318) q(0 1 1 -1) r(2 2) U16
X-XSS-Protection:%E2%80%9C1;mode=block%E2%80%9D <-------- Strange Encoding here...
2)我可以看到X-XSS-PROTECTION在控制檯上出現以下錯誤:
解析頭文件時出錯X-XSS-Protection:â1; mode =blockâ:期望0或1在字符位置0.默認保護將被應用。
我正在使用Laravel 5.0。自Laravel 4.2以來,FrameGuard.php中間件在缺省情況下未處於活動狀態,但您可以選擇在需要時啓用它。當它被禁用時,我看到上面的錯誤,我真的不明白爲什麼,所以我的第一個實際上是通過實際使用該中間件來覆蓋這些標頭。
當我加入Illuminate\Http\Middleware\FrameGuard.php中間件,其中包含下面的代碼,似乎沒有任何改變:
public function handle($request, Closure $next)
{
$response = $next($request);
$response->headers->set('X-XSS-Protection', '1; mode=block');
$response->headers->set('Content-Type','text/html; charset=UTF-8');
$response->headers->set('X-Frame-Options', 'SAMEORIGIN', true);
return $response;
}
我也用社會名流提供Facebook驗證。有沒有可能修改任何頭文件?
您是否設置了中間件優先級,以便您的中間件被稱爲最後一個?當你在中間件中得到響應時,你可能會調試是否已經存在損壞的頭文件。另外如果我使用'decodeURIComponent(「%E2%80%9C1」)=「」1「'。這意味着錯誤可能只是通過使用智能報價而不是普通報價來引起的。你是否複製了一些來自網絡或word文檔的代碼?你也可以使用'grep -r「」「.'來檢測哪個文件有智能報價。 –
對此有何更新? –