ie瀏覽器提示錯誤的原字樣爲: Internet Explorer 已對此頁面進行了修改,以幫助阻止跨站點腳本!
- 問題所在環境:
- 瀏覽器: ie8+
- 系統:winxp win7 vista
- post請求至其他域名站點(非本站點域名)
如果滿足以上三點問題,我就大概可以確定你所發生的問題就是我這篇博文要解決的問題。
- 解決辦法:
只需要在目標頁面添加一個header頭標記就可以搞定這個問題,
- response.addHeader("X-XSS-Protection","0");
Java代碼![複製代碼]()
![]()
- response.addHeader("X-XSS-Protection","0");
response.addHeader("X-XSS-Protection","0");
- 官方解釋(跨站點腳本篩選):
一個網站向另一個網站注入或添加 JavaScript 進行非法請求,即構成跨站點腳本攻擊。原始請求一般都是合法的,例如原始請求可以是一個指向另一個頁面的鏈接,也可以是提供常用服務(如留言簿)的通用網關接口 (CGI) 腳本。注入的腳本通常會嘗試訪問另一個網站不允許訪問的特權信息或服務。響應或請求通常會將結果反饋給該惡意網站。XSS 篩選器是 Windows® Internet Explorer® 8 的新功能,用於檢測 URL 和 HTTP POST 請求中的 JavaScript。檢測到 JavaScript 時,XSS 篩選器會搜索反射的證據,即攻擊請求在沒有更改的情況下提交時,返回給攻擊網站的信息。如果檢測到反射,XSS 篩選器將審查該原始請求,這樣附加的 JavaScript 將無法執行。
詳細參考地址: http://technet.microsoft.com/zh-cn/library/dd638324%28WS.10%29.aspx - 其他解決辦法:
在 "Internet 控制面板" 中控制 XSS 篩選器,具體參考 http://bjyzxxds.iteye.com/blog/453119
- 兩種方法對比:
兩種方法對比,我感覺第一種解決方法是最爲合適的,想讓某一個頁面跨站點腳本,可以添加一個header就ok,這樣相對於其他的站點訪問,安全問題是最大的,其他解決辦法是通過設置internet選項,這種方法不是很安全,因爲所有的頁面都會公用這一個設置,所以安全存在很大的問題!還有一個問題就是現在的項目都是bs模式的,所以說用戶所用的工具都是瀏覽器,爲了實現這一個效果,不可能每次給用戶配置電腦的時候,都得說把internet裏面的xss選項給禁用了。