标签: ruby-on-rails safari xss
我在rails网站上有一个编辑操作,有时会在params中发送<iframe>个标记。在Safari上完成此操作后,它会重定向到一个空白页面,其中data;为网址。这样做是为了防止反射XSS攻击。
<iframe>
data;
在网上进行一些研究后,我发现我可以通过将response.headers['X-XSS-Protection'] = "0"添加到重定向到的展示路径来禁用此功能。
response.headers['X-XSS-Protection'] = "0"
我的问题是;现在离开网站会有多暴露?是否有更有效的方法来解决这个问题?