iframeがあるとChromeでプレビューがエラーになります

質問全般・改善要望
kazuike
メンバー
メンバー
記事: 468
登録日時: 2009年8月12日(水) 12:53

iframeがあるとChromeでプレビューがエラーになります

投稿記事by kazuike » 2017年9月26日(火) 20:01

MODX1.0.18J(他のバージョンも同様だと思います)

ブラウザにChromeを使用している場合、
YoutubeやGoogleMaps等、iframeを含むリソースのプレビューを行うと、
ERR_BLOCKED_BY_XSS_AUDITOR エラーが出ます。
どうも、XSS(クロスサイトスクリプティング)フィルターが働いているようです。

これは、MODXに限ったことではないようで、ネット上に関連する情報はけっこうあります。

今のところ、この現象は、比較的新しいバージョンのChromeだけで、
Chrome以外のブラウザや古いChrome(~v55?)ではこの現象は出ないようです。

回避方法として、
HTTPヘッダに「X-XSS-Protection: 0」を出力すれば、
XSSフィルターをOffにできるようですが、
.htaccess等でサイト全体でOffにしてしまうことは、できれば避けたい気がします。

たとえば、
DocumentParser等の中で、管理者によるプレビューの処理の際に限り、
HTTPヘッダに「X-XSS-Protection: 0」を出力するというような処理を加える事は可能でしょうか?


HTTPヘッダの「X-XSS-Protection」に従うのは、他のブラウザも同様ですが、
指定が無い時のデフォルトの動作が、最近のChromeで変更になったということなんでしょうね。
今後、Chromeがこの仕様を引っ込めるのか?、他のブラウザもChromeに追随するのか?
▼ウェブ屋のCMS→modxヒキダス流(備忘録)
http://d.hatena.ne.jp/hikidas_ikeda/
アバター
yama
管理人
記事: 2929
登録日時: 2009年7月29日(水) 02:50

iframeがあるとChromeでプレビューがエラーになります

投稿記事by yama » 2017年9月26日(火) 22:00

https://github.com/evolution-cms/evolut ... ef664a00f1
evo1.3.6ではすでに対応済みです。日本版もあとで追加しておきますね
kazuike
メンバー
メンバー
記事: 468
登録日時: 2009年8月12日(水) 12:53

iframeがあるとChromeでプレビューがエラーになります

投稿記事by kazuike » 2017年9月27日(水) 17:48

ありがとうございます。
よろしくお願いします。
#管理機能全体でXSSフィルターをOffする仕様がちょっと気になりますが…
▼ウェブ屋のCMS→modxヒキダス流(備忘録)
http://d.hatena.ne.jp/hikidas_ikeda/