最近我在往博客文章中添加评论功能后,发现使用 IE 访问某一篇文章的页面总是弹出警告:“Internet Explorer 已对此页面进行了修改,以帮助阻止跨站点脚本”。通过 Fiddler 不断调试和测试,发现是因为这篇文章的标题以 JavaScript: 开头,然后触发 IE 的 XSS 筛选器认为这是一个跨站点脚本攻击。其实文章标题中并不含有任何 JavaScript 脚本语句,只不过是以 JavaScript: 为开头,却最终导致 XSS 筛选器误判一个正常的页面。
JavaScript: