我在 web.config 文件中启用了 X-XSS-Protection 标头:
<httpprotocol>
<customheaders>
<remove name="X-Powered-By" />
<add name="X-XSS-Protection" value="1; mode=block" />
</customheaders>
</httpprotocol>
现在,X-XSS-Protection 标头出现在 text/plain、application/json、text/xml 或图像请求的响应中,但它不会出现在主 text/HTML 文档的响应中。但是,似乎这个 X-XSS-Protection 标头恰恰是 text/HTML 文档所需要的。你知道为什么会发生这种情况吗?
答案1
这没有按预期工作,因为我刚刚在服务器端添加了自定义标头,而不是在客户端。现在我将它们添加到客户端,标头按预期显示。