iframeがあるとChromeでプレビューがエラーになります
Posted: 2017年9月26日(火) 20:01
MODX1.0.18J(他のバージョンも同様だと思います)
ブラウザにChromeを使用している場合、
YoutubeやGoogleMaps等、iframeを含むリソースのプレビューを行うと、
ERR_BLOCKED_BY_XSS_AUDITOR エラーが出ます。
どうも、XSS(クロスサイトスクリプティング)フィルターが働いているようです。
これは、MODXに限ったことではないようで、ネット上に関連する情報はけっこうあります。
今のところ、この現象は、比較的新しいバージョンのChromeだけで、
Chrome以外のブラウザや古いChrome(~v55?)ではこの現象は出ないようです。
回避方法として、
HTTPヘッダに「X-XSS-Protection: 0」を出力すれば、
XSSフィルターをOffにできるようですが、
.htaccess等でサイト全体でOffにしてしまうことは、できれば避けたい気がします。
たとえば、
DocumentParser等の中で、管理者によるプレビューの処理の際に限り、
HTTPヘッダに「X-XSS-Protection: 0」を出力するというような処理を加える事は可能でしょうか?
#
HTTPヘッダの「X-XSS-Protection」に従うのは、他のブラウザも同様ですが、
指定が無い時のデフォルトの動作が、最近のChromeで変更になったということなんでしょうね。
今後、Chromeがこの仕様を引っ込めるのか?、他のブラウザもChromeに追随するのか?
ブラウザにChromeを使用している場合、
YoutubeやGoogleMaps等、iframeを含むリソースのプレビューを行うと、
ERR_BLOCKED_BY_XSS_AUDITOR エラーが出ます。
どうも、XSS(クロスサイトスクリプティング)フィルターが働いているようです。
これは、MODXに限ったことではないようで、ネット上に関連する情報はけっこうあります。
今のところ、この現象は、比較的新しいバージョンのChromeだけで、
Chrome以外のブラウザや古いChrome(~v55?)ではこの現象は出ないようです。
回避方法として、
HTTPヘッダに「X-XSS-Protection: 0」を出力すれば、
XSSフィルターをOffにできるようですが、
.htaccess等でサイト全体でOffにしてしまうことは、できれば避けたい気がします。
たとえば、
DocumentParser等の中で、管理者によるプレビューの処理の際に限り、
HTTPヘッダに「X-XSS-Protection: 0」を出力するというような処理を加える事は可能でしょうか?
#
HTTPヘッダの「X-XSS-Protection」に従うのは、他のブラウザも同様ですが、
指定が無い時のデフォルトの動作が、最近のChromeで変更になったということなんでしょうね。
今後、Chromeがこの仕様を引っ込めるのか?、他のブラウザもChromeに追随するのか?