Что вызывает «Internet Explorer изменил эту страницу, чтобы предотвратить межсайтовый скриптинг»?

Я пытаюсь реализовать обход отсутствующих функций CORS в Internet Explorer. Для запросов GET я использую JSONP, здесь нет проблем. Для небольших запросов POST / DELETE / PUT я также использую JSONP путем туннелирования запросов через GET, но это не работает для больших запросов (поскольку длина URL-адреса GET ограничена). Поэтому для больших данных я пытаюсь реализовать форму POST через iframe. Я не могу прочитать ответ из этого POST из-за политики того же происхождения, поэтому я получаю ответ через запрос GSON JSONP после публикации данных. Прекрасно работает, но иногда я получаю странное предупреждение в IE 9:

Internet Explorer has modified this page to help prevent cross-site scripting.

Сначала я подумал, что, черт возьми, IE там делает, потому что даже когда появляется это предупреждение, все все еще работает правильно. Затем я обнаружил, что IE заменяет содержимое скрытого iframe ПОСЛЕ ответа POST (который я все равно не могу прочитать и в котором я нуждаюсь) на & quot; # & quot; персонаж.

Таким образом, мой обходной путь все еще работает, даже когда появляется это предупреждение, но я хотел бы знать, что именно вызывает это предупреждение, так что, возможно, я могу изменить мой обходной путь CORS, чтобы избавиться от этого предупреждения. Есть намеки?

 kayahr15 июн. 2012 г., 08:59
Ответ уже пуст. Я не трачу пропускную способность на данные, которые не могу прочитать в любом случае.
 Pacerier13 июл. 2012 г., 12:37
@WladimirPalant Есть ли у вас источник поддержки? Я думаю, что [IE] проверяет, содержит ли ответ сервера данные, которые были переданы ему в запросе в неэкранированном виде & quot ;?
 kayahr16 июн. 2012 г., 16:12
@Artem: Да, этот заголовок исправляет мою проблему. Вы хотите создать ответ, чтобы я мог принять его?
 Wladimir Palant15 июн. 2012 г., 08:37
IE защищает отreflected XSS и я думаю, что он проверяет, содержит ли ответ сервера данные, которые были переданы ему в запросе в неэкранированном виде. Если вам все равно не нужен ответ на ваш запрос POST, то я думаю, что отправка чего-либо там не решит эту проблему?
 Artem Oboturov15 июн. 2012 г., 18:03

Ответы на вопрос(1)

Решение Вопроса

X-XSS-Protection Заголовок на вашем сервере. Это скажет IE отключить защиту XSS на вашем сайте.

Ваш ответ на вопрос