我正在尝试为Internet Explorer中缺少CORS功能实现一种变通方法。对于GET请求,我使用JSONP,这里没有问题。对于小型POST / DELETE / PUT请求,我还通过GET隧道传送请求来使用JSONP,但这不适用于较大的请求(因为GET URL的长度受到限制)。因此,对于大数据,我尝试通过iframe实现表单POST。由于同源政策,我无法读取此POST的响应,因此我在发布数据后通过JSONP GET请求获取响应。效果很好,但有时我在IE 9中收到一个奇怪的警告:
Internet Explorer has modified this page to help prevent cross-site scripting.
首先,我想知道IE到底在做什么,因为即使出现此警告,一切仍然可以正常工作。然后,我发现IE在POST回答后(无论如何我都无法阅读,也不需要)用“#”字符替换了隐藏iframe的内容。
因此,即使出现此警告,我的解决方法仍然有效,但是我想知道是什么真正触发了此警告,因此也许我可以修改CORS解决方法以摆脱此警告。有什么提示吗?
最佳答案
您可以在服务器上配置X-XSS-Protection header 。这将告诉IE在您的站点上禁用XSS保护。