我有一個表單,允許您嵌入YouTube視頻,並在POST時呈現YouTube視頻。問題是,Safari(5.0以來)有一個XSS審計器引發此消息:Refused to load an object. URL found within request: "http://www.youtube.com/v/ZO7EiX5TqLY?version=3".如何繞過Safari的XSS審覈員在POST上呈現遠程Flash對象?
它適用於普通GET後綴。有沒有辦法避免重定向?
我abarth上#webkit解決了這個:
的Safari 5試圖阻止reflective XSS attack,不容許出現在投稿PARAMS嵌入功能。
有兩件事情我可以做的:
X-XSS-Protection: 0頭,這表明我知道我在做什麼,並能防止XSS自己。爲POST該規範表示重定向:
http://www.w3.org/Protocols/rfc2616/rfc2616-sec9.html
如果資源已經在 源服務器上創建的,則反應應該是 201(創建)和包含一個實體 ,其描述 請求的狀態,並引用新的 資源和位置標題(請參閱 第14.30節)。
對此方法的響應不是 可緩存,除非響應 包含適當的Cache-Control或 Expires標頭字段。但是,可以使用 303(請參閱其他)響應 來指示用戶代理檢索可緩存資源 。
既然你說它適用於後續的GET請求,這是否意味着你試圖直接在POST響應中返回嵌入對象?如果是這樣,似乎違反規範,而XSS審計員可能就在這裏。如果我誤解了這個問題,你能澄清一下嗎?