chrome 说(关于 XSS 攻击):“审核员已启用,因为服务器未发送‘X-XSS-Protection’ header 。”; 这是否意味着如果有任何 xss 保护 header ,审核员将被禁用? 想象一下,如果该安全解决方案有一个很大的 XSS 漏洞,审计员知道它,但由于该网站有一个 XSS 保护 header ,它不会做任何事情...... 无论如何,我不相信 xss 保护的审计员,但我很好奇。
最佳答案
它更像是在没有 header 的情况下默认启用审核器,但是通过 header 您可以控制它是启用还是禁用。
使用 X-XSS-Protection:0 审计器将被禁用,使用 X-XSS-Protection:1 或 X-XSS-Protection: 1; mode=block 审核员将被启用。
审核员可能很快就会被撤职,因为它不是很可靠。请参阅:https://www.chromium.org/developers/design-documents/xss-auditor
关于javascript - 如果我有 XSS 保护解决方案,它会导致 chrome auditor 被禁用吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/57393705/