我有以下设置:
GET /foo - 显示带有包含标记的textarea的表单,该标记发布到/bar
POST /bar - 在Chrome中生成ERR_BLOCKED_BY_XSS_AUDITOR错误(最近开始)
我怎样才能解决这个问题?我读过我应该能够使用X-XSS-Protection: 0标头解决这个问题,但是我应该将其作为请求标头或响应标头发送吗?在/foo网址或/bar网址上?
答案 0 :(得分:5)
您必须在服务器端发送响应标头。例如带有Express的Node.js
res.header('X-XSS-Protection' , 0 );
或者PHP
header("X-XSS-Protection: 0");