拒绝执行 JavaScript 脚本。在请求中找到的脚本源代码

Question

在 WebKit 中，我的 JavaScript 出现以下错误：

拒绝执行 JavaScript 脚本。在请求中找到的脚本源代码。

该代码用于 JavaScript 微调器，请参阅 ASCII Art。

以前的代码可以正常工作，并且在 Camino 和 Firefox 中仍然可以正常工作。该错误似乎仅在通过 POST 保存页面然后通过 GET 检索时引发。它发生在 Chrome/Mac 和 Safari/Mac 中。

有谁知道这意味着什么，以及如何解决这个问题？

Answer 1

正如其他人所说，当 HTTP 响应包含也在请求中的 JavaScript 和/或 HTML 字符串时，就会发生这种情况。这通常是由在表单字段中输入 JS 或 HTML 引起的，但也可以通过其他方式触发，例如手动调整 URL 的参数。

这样做的问题是，不怀好意的人可能会将他们想要的任何 JS 作为值，使用恶意 JS 值链接到该 URL，从而给您的用户带来麻烦。

几乎在所有情况下，这都可以通过HTML encoding the response 修复，但也有例外。例如，这对于 <script> 标记内的内容是不安全的。其他特定情况可以以不同方式处理 - 例如，将输入注入 URL 最好使用 URL 编码。

正如 Kendall Hopkins 所提到的，在某些情况下，您可能确实想要执行来自表单输入的 JavaScript，例如创建像 JSFiddle 这样的应用程序。在这些情况下，我建议您至少在后端代码中仔细检查输入，然后再盲目地将其写回。之后，您可以使用他提到的方法来防止 XSS 阻塞（至少在 Chrome 中），但请注意它正在向攻击者开放。

Answer 2

在我提交到数据库之后，但在从我的_GET 请求呈现脚本之前，我使用了这个 hacky PHP 技巧。：

if(!empty($_POST['contains_script'])) { 
    echo "<script>document.location='template.php';</script>";
}

这对我来说是最便宜的解决方案。

Answer 3

可以通过在受影响的页面上发送非标准 HTTP 标头 X-XSS-Protection 来禁用此“功能”。

X-XSS-Protection: 0

Answer 4

简答：在初次提交 javascript 后刷新页面，或点击显示您正在编辑的页面的 URL。

长答案：由于您填写的表格中包含javascript，而浏览器不一定知道您是javascript的来源，因此浏览器假设为更安全你不是这个JS的来源，不要运行它。

一个例子：假设我给了你一个链接，你的电子邮件或 Facebook 中包含一些 javascript。想象一下，javascript 会向你所有的朋友发送我很酷的链接。因此，让该链接被调用的游戏变得很简单，找到一个发送 javascript 的地方，这样它就会被包含在页面中。

Chrome 和其他 WebKit 浏览器尝试通过不执行响应中的任何 javascript（如果请求中存在）来降低此风险。我的恶意攻击将被挫败，因为您的浏览器永远不会运行该 JS。

在您的情况下，您将其提交到表单字段中。表单字段的 Post 将导致显示 Javascript 的页面呈现，导致浏览器担心。但是，如果您的 javascript 确实被保存，则在不提交表单的情况下点击同一页面将允许它执行。

Answer 5

这是一种防止XSS (cross-site scripting)攻击的安全措施。

当一些 JavaScript 代码通过 HTTP POST 请求发送到服务器，并且相同的代码通过 HTTP 响应返回时，就会发生这种情况。如果 Chrome 检测到这种情况，脚本会被拒绝运行，并且您会收到错误消息 Refused to execute a JavaScript script. Source code of script found within request。

另请参阅有关 Security in Depth: New Security Features 的博文。