如何绕过 Safari 的 XSS 审核器在 POST 上渲染远程 Flash 对象？

发布于 2024-11-07 16:35:26 字数 233 浏览 0 评论 0原文

我有一个表单，允许您嵌入 YouTube 视频，当它发布时，它会呈现 YouTube 视频。问题是 Safari（自 5.0 起）有一个 XSS Auditor，它会抛出以下消息：拒绝加载对象。在请求中找到的 URL：“http://www.youtube.com/v/ZO7EiX5TqLY?version=3”。

对于正常的 GET 后记来说，它工作得很好。有什么办法可以在不重定向的情况下解决这个问题吗？

原文

分享到QQ

分享到微博

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

需要登录才能够评论，你可以免费注册一个本站的账号。

初心未许 2024-11-14 16:35:26

我在 #webkit 上使用 abarth 解决了这个问题：

Safari 5 正在尝试阻止反射型 XSS 攻击，不允许嵌入出现在 POSTed 参数中。

我可以做两件事：

我可以发送 X-XSS-Protection: 0 标头，这表明我知道自己在做什么，并且可以自己防范 XSS。
我不能在参数中发送嵌入代码，这对我来说实际上是一个可行的选择，因为嵌入代码无论如何都会被后端删除。

回复收藏 0 原文

陈甜 2024-11-14 16:35:26

POST 规范指示重定向：

http://www.w3.org/Protocols /rfc2616/rfc2616-sec9.html

如果资源已创建
源服务器，响应应该是
201（已创建）并包含一个实体
它描述了状态
请求并引用新的
资源和 Location 标头（请参阅
第 14.30 节）。
对此方法的响应不是
可缓存，除非响应
包括适当的缓存控制或
使标头字段过期。然而，
可以使用 303（查看其他）响应
指示用户代理检索
可缓存资源。

既然您说它适用于后续的 GET 请求，这是否意味着您试图直接在 POST 响应中返回嵌入的对象？如果是这样，似乎违反了规范，XSS Auditor 可能就在这里。如果我误解了这个问题，你能澄清一下吗？