Я не могу добавить заголовок x-xss-защиты в объект HttpResponse.Как добавить заголовок защиты x-xss в django?
В принципе, я хочу, чтобы иметь возможность переопределить защиту x-xss: «1; mode = block;» заголовок, так как это дает мне сообщение об ошибке на Webkit браузеров (Safari и Chrome):
Аудитор XSS отказался выполнить скрипт в «HTTP: // ...», потому что его исходный код был найден внутри запрос. Аудитор был включен в качестве сервера послал ни в 'X-XSS-защиты', ни 'Content-Security-Policy' заголовка
Когда я попытался добавить заголовок HTTP X-XSS-Protection в объекте HttpResponse, Я получаю это:
получил неожиданный аргумент ключевого слова 'X-XSS-защиты'
это кажется, что он не поддерживает й-XSS-защиты ?! Я, вероятно, делаю это неправильно.
Я не уверен, что я должен добавить это на уровне приложения (django) или на уровне веб-сервера (Apache/nginX).
В моем случае это было бы желательно делать непосредственно на виду, так как я не хочу, чтобы эта уязвимость была «неотображаемой» на других представлениях django.
Любое предложение?
Так, Django 1.4, вы знаете, есть модуль ClickJacking, который предлагает Pratically те же методы/промежуточное программное обеспечение. Дело в том, что я хочу удалить X-XSS-Protection. Не добавил. Он уже добавлен по умолчанию – nffdiogosilva
Моя ошибка извините. Вы разрешили какие-либо правила CSP? Не могли бы вы разместить HTTP-заголовок ответа где-нибудь и вставить ссылку сюда? Потому что я предлагаю вам решить основную проблему, не отключая защиту XSS. Это действительно работает, если вы хотите защитить своих клиентов от XSS. –