即使启用了xss也会执行脚本
我正在nginx服务器(1.12.2)上运行我的网站。我正在为我的网站使用django框架。
我在Django的settings.py中启用了X-XSS保护,
SECURE_BROWSER_XSS_FILTER = True
SECURE_CONTENT_TYPE_NOSNIFF = TRUE
在nginx conf中,我添加了标头以启用XSS保护。
在“网络”选项卡中,我可以在响应标题中看到标题类型。但是,当我以表单形式输入脚本(例如警报)时,即使启用了xss,该脚本也会被执行。
1 个答案:
答案 0 :(得分:0)
X-XSS-Protection标头仅处理反射的XSS攻击。
https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-XSS-Protection
听起来您是否希望浏览器根本不执行任何脚本?在这种情况下,我认为...
Content-Security-Policy: script-src 'none';
https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Security-Policy/script-src
可能会解决问题。
相关问题
最新问题
- 我写了这段代码,但我无法理解我的错误
- 我无法从一个代码实例的列表中删除 None 值,但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场?
- 是否有可能使 loadstring 不可能等于打印?卢阿
- java中的random.expovariate()
- Appscript 通过会议在 Google 日历中发送电子邮件和创建活动
- 为什么我的 Onclick 箭头功能在 React 中不起作用?
- 在此代码中是否有使用“this”的替代方法?
- 在 SQL Server 和 PostgreSQL 上查询,我如何从第一个表获得第二个表的可视化
- 每千个数字得到
- 更新了城市边界 KML 文件的来源?