从外部域下载资源

时间:2014-02-04 09:00:33

标签: html cross-domain xss cdn

我们有一个ASP.net网站(https://website.example.com)正在从不同的子域名({{1})加载外部库(cssjavascript) })

我们通过https://library.example.com项目加载的资源只是css文件和javascript插件,它们本身不会发出任何请求(通过library)。

在正常环境中测试网站,一切正常。

但是,从AJAX浏览器打开它会返回错误:

Internet Explorer 8

我们引用外部资源的事实会导致错误吗?

如果是,解决此问题的解决方案是什么?

我认为90%的网站会从外部域(例如CDN服务器)下载引用。

1 个答案:

答案 0 :(得分:1)

这是一种方法 - 在服务器上配置X-XSS-Protection标头。 这将告诉IE在您的网站上禁用XSS保护。

看起来像这样:

GET / HTTP/1.1

HTTP/1.1 200 OK
Date: Wed, 01 Feb 2012 03:42:24 GMT
Expires: -1
Cache-Control: private, max-age=0
Content-Type: text/html; charset=ISO-8859-1
Set-Cookie: PREF=ID=6ddbc0a0342e7e63:FF=0:TM=1328067744:LM=1328067744:S=4d4farvCGl5Ww0C3; expires=Fri, 31-Jan-2014 03:42:24 GMT; path=/; domain=.google.com
Set-Cookie: NID=56=PgRwCKa8EltKnHS5clbFuhwyWsd3cPXiV1-iXzgyKsiy5RKXEKbg89gWWpjzYZjLPWTKrCWhOUhdInOlYU56LOb2W7XpC7uBnKAjMbxQSBw1UIprzw2BFK5dnaY7PRji; expires=Thu, 02-Aug-2012 03:42:24 GMT; path=/; domain=.google.com; HttpOnly
P3P: CP="This is not a P3P policy! See http://www.google.com/support/accounts/bin/answer.py?hl=en&answer=151657 for more info."
Server: gws
X-XSS-Protection: 1; mode=block
X-Frame-Options: SAMEORIGIN
Transfer-Encoding: chunked

1000

请在此处阅读更多details

相关问题
最新问题