我似乎无法将x-xss-protection标头添加到HttpResponse对象 .
基本上,我希望能够覆盖x-xss-protection:“1; mode = block;” Headers ,因为它在Webkit浏览器(Safari和Chrome)上给我这个错误消息:
XSS Auditor拒绝在'http:// ...'中执行脚本,因为其源代码是在请求中找到的 . 审核员已启用,因为服务器既未发送“X-XSS-Protection”也未发送“Content-Security-Policy”标头
当我尝试在HttpResponse对象中添加X-XSS-Protection http标头时,我得到了这个:
得到一个意外的关键字参数'x-xss-protection'
它似乎不支持x-xss保护?!我可能做错了 .
我不确定我是应该在应用程序级别(django)还是在Web服务器级别(Apache / nginX)添加它 .
在我的情况下,它最好直接在视图上进行,因为我不希望这个漏洞在其他django视图中“未被捕获” .
有什么建议吗?
1 回答
django-secure可以为你做到这一点 . 你可以通过pip安装它 .
要在浏览器中启用XSS过滤器并强制它始终阻止可疑的XSS攻击,您可以通过X-XSS-Protection:1; mode =块头 . 如果SECURE_BROWSER_XSS_FILTER设置为True,SecurityMiddleware将对所有响应执行此操作 .
http://django-secure.readthedocs.org/en/latest/middleware.html