如果我有 XSS 保护解决方案,它会导致 chrome 审核员被禁用吗?
If I have an XSS protection solution, does it cause chrome auditor to become disabled?
chrome 说(关于 XSS 攻击):"The auditor was enabled as the server did not send an 'X-XSS-Protection' header.";
这是否意味着如果有任何 xss 保护 header,审核员将被禁用?
想象一下,如果该安全解决方案有一个很大的 XSS 漏洞,审计员知道它,但由于该网站有 XSS 保护 header,它不会做任何事情......
无论如何,我不相信 xss 保护的审计员,但我很好奇。
更像是在没有 header 的情况下默认启用审核器,但是使用 header 您可以控制它是启用还是禁用。
使用 X-XSS-Protection:0 将禁用审计器,使用 X-XSS-Protection:1 或 X-XSS-Protection:1; mode=block 将启用审计器。
审核员可能很快就会被撤职,因为它不是很可靠。参见:https://www.chromium.org/developers/design-documents/xss-auditor
chrome 说(关于 XSS 攻击):"The auditor was enabled as the server did not send an 'X-XSS-Protection' header."; 这是否意味着如果有任何 xss 保护 header,审核员将被禁用? 想象一下,如果该安全解决方案有一个很大的 XSS 漏洞,审计员知道它,但由于该网站有 XSS 保护 header,它不会做任何事情...... 无论如何,我不相信 xss 保护的审计员,但我很好奇。
更像是在没有 header 的情况下默认启用审核器,但是使用 header 您可以控制它是启用还是禁用。
使用 X-XSS-Protection:0 将禁用审计器,使用 X-XSS-Protection:1 或 X-XSS-Protection:1; mode=block 将启用审计器。
审核员可能很快就会被撤职,因为它不是很可靠。参见:https://www.chromium.org/developers/design-documents/xss-auditor