我正在使用最新的Web服务器(Any),默认情况下启用了X-XSS-Protection:1; mode =阻止可能的XSS攻击。
因此,尝试通过向GET请求注入脚本来评估我的服务器,由于上面的过滤器已启用,服务器拒绝了该请求。我的请求看起来像 https://localhost:431/report/api/createlist.ams?subscriberID=%3Cscript%3Ealert(1)%3C/script%3E&_=1490175834029 ==>由服务器拒绝,因为在请求中找到了脚本的源代码。服务器发送了一个' X-XSS-Protection'标头请求此行为。
我有一些通过AJAX的GET请求仍然没有被服务器阻止。服务器正在处理正常的GET请求,而AJAX GET请求则不同。如下所述,我如何拒绝XSS攻击是AJAX请求的情况。 https://localhost:43261/tabular/reports-data/items.json?startDate=2017-03-01&endDate=2017-03-22&Type=All&bound=Inbound&dataGrouping=%3C%2Ftitle%3E%3Cscript%3Ealert%281%29%3B%3C%2Fscript%3E%3Ctitle%3E&=1490244895514 要么 https://localhost:43261/tabular/reports-data/items.json?startDate=2017-03-01&endDate=2017-03-22&Type=All&bound=Inbound&dataGrouping=%警报(1)%&安培; = 1490244895514
由于