Bug IE 8 : meta refresh - filtre XSS
Bonjour,
J'ai rencontré un problème avec le navigateur Internet Explorer 8.
Sur une page possédant un meta refresh, IE8 changeait la liste des paramètres de l'url (les crochets étaient remplacés par des #, ce qui entraînait des erreurs pour la suite du traitement).
Voici le contenu de la page du premier appel :
Code:
<meta http-equiv="refresh" content="3;url=/test.html?securite=16&sessionId=18&resaExpress=false&formule['1_1L']=Z&selection_hotel_0=1&prestationId=854240216179802344&produitId=1767922734058203531&vol[0]=2_N&type['1']=1L_0&type['1']=2L_1&formule['1_2L']=Z&vol[1]=14_N"/>
Voici celui du second :
Code:
<meta http-equiv="refresh" content="3;url=/test.html?securite=16&sessionId=18&resaExpress=false&formule['1_1L']=Z&selection_hotel_0=1&prestationId=854240216179802344&produitId=1767922734058203531&vol#0#=2_N&type#'1'#=1L_0&type#'1'#=2L_1&formule#'1_2L'#=Z&vol#1#=14_N"/>
Une alerte IE apparaît : "Internet Explorer a modifié cette page pour empêcher le script de site à site."
Elle concernant le filtre anti-script de site à site (XSS) apparaissait. Après quelques recherches j'ai trouvé une solution de contournement, il suffit d'ajouter "Header add X-XSS-Protection 0" dans la configuration du serveur apache qui permet d'indiquer au client que les scripts sont surs (cf http://httpd.apache.org/docs/2.0/mod/mod_headers.html).
Vous trouverez un test permettant de mettre en avant le problème à l'adresse suivante :
Si quelqu'un connaît une vraie solution à ce problème sans contournement, je suis preneur ;)
Cordialement