我试图在 Rails 3.2.8 中将 X-XSS-Protection 标头设置为“0”,以防止 Internet Explorer 引发 XSS 错误。在此问题和本文中查看有关标题的更多详细信息。我目前在我的应用程序控制器中使用它:
class ApplicationController < ActionController::Base
before_filter :set_headers
def set_headers
response.headers['X-XSS-Protection'] = "0"
end
end
在开发中,这可以很好地设置标题。curl -i http://localhost:3000返回:
X-XSS-Protection: 0
但在生产中,( curl -i http://production-app.com) 标头不正确地小写,IE 似乎忽略了它。
X-Xss-Protection: 0
有谁知道为什么会这样?