ページ 11

iframeがあるとChromeでプレビューがエラーになります

Posted: 2017年9月26日(火) 20:01
by kazuike
MODX1.0.18J(他のバージョンも同様だと思います)

ブラウザにChromeを使用している場合、
YoutubeやGoogleMaps等、iframeを含むリソースのプレビューを行うと、
ERR_BLOCKED_BY_XSS_AUDITOR エラーが出ます。
どうも、XSS(クロスサイトスクリプティング)フィルターが働いているようです。

これは、MODXに限ったことではないようで、ネット上に関連する情報はけっこうあります。

今のところ、この現象は、比較的新しいバージョンのChromeだけで、
Chrome以外のブラウザや古いChrome(~v55?)ではこの現象は出ないようです。

回避方法として、
HTTPヘッダに「X-XSS-Protection: 0」を出力すれば、
XSSフィルターをOffにできるようですが、
.htaccess等でサイト全体でOffにしてしまうことは、できれば避けたい気がします。

たとえば、
DocumentParser等の中で、管理者によるプレビューの処理の際に限り、
HTTPヘッダに「X-XSS-Protection: 0」を出力するというような処理を加える事は可能でしょうか?


HTTPヘッダの「X-XSS-Protection」に従うのは、他のブラウザも同様ですが、
指定が無い時のデフォルトの動作が、最近のChromeで変更になったということなんでしょうね。
今後、Chromeがこの仕様を引っ込めるのか?、他のブラウザもChromeに追随するのか?

iframeがあるとChromeでプレビューがエラーになります

Posted: 2017年9月26日(火) 22:00
by yama
https://github.com/evolution-cms/evolut ... ef664a00f1
evo1.3.6ではすでに対応済みです。日本版もあとで追加しておきますね

iframeがあるとChromeでプレビューがエラーになります

Posted: 2017年9月27日(水) 17:48
by kazuike
ありがとうございます。
よろしくお願いします。
#管理機能全体でXSSフィルターをOffする仕様がちょっと気になりますが…