Bug IE 8 : meta refresh - filtre XSS

[jfernandez]

Bonjour,

J'ai rencontré un problème avec le navigateur Internet Explorer 8.
Sur une page possédant un meta refresh, IE8 changeait la liste des paramètres de l'url (les crochets étaient remplacés par des #, ce qui entraînait des erreurs pour la suite du traitement).

Voici le contenu de la page du premier appel :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

<meta http-equiv="refresh" content="3;url=/test.html?securite=16&amp;sessionId=18&amp;resaExpress=false&amp;formule['1_1L']=Z&amp;selection_hotel_0=1&amp;prestationId=854240216179802344&amp;produitId=1767922734058203531&amp;vol[0]=2_N&amp;type['1']=1L_0&amp;type['1']=2L_1&amp;formule['1_2L']=Z&amp;vol[1]=14_N"/>

Voici celui du second :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

<meta http-equiv="refresh" content="3;url=/test.html?securite=16&amp;sessionId=18&amp;resaExpress=false&amp;formule['1_1L']=Z&amp;selection_hotel_0=1&amp;prestationId=854240216179802344&amp;produitId=1767922734058203531&amp;vol#0#=2_N&amp;type#'1'#=1L_0&amp;type#'1'#=2L_1&amp;formule#'1_2L'#=Z&amp;vol#1#=14_N"/>

Une alerte IE apparaît : "Internet Explorer a modifié cette page pour empêcher le script de site à site."
Elle concernant le filtre anti-script de site à site (XSS) apparaissait. Après quelques recherches j'ai trouvé une solution de contournement, il suffit d'ajouter "Header add X-XSS-Protection 0" dans la configuration du serveur apache qui permet d'indiquer au client que les scripts sont surs (cf http://httpd.apache.org/docs/2.0/mod/mod_headers.html).

Vous trouverez un test permettant de mettre en avant le problème à l'adresse suivante :

Citation:

http://www.baroukh.com/test.html?sec...=false&formule['1_1L']=Z&selection_hotel_0=1&prestationId=854240216179802344&produitId=1767922734058203531&vol#0#=1_N&type#'1'#=1L_0&type#'1'#=2L_1&formule#'1_2L'#=Z&vol#1#=13_N

Si quelqu'un connaît une vraie solution à ce problème sans contournement, je suis preneur

Cordialement