Скрипт выполняется, хотя xss включен

Question

Я запускаю свой сайт на сервере nginx (1.12.2).Я использую фреймворк Django для своего сайта.

Я включил защиту X-XSS в settings.py в django,

SECURE_BROWSER_XSS_FILTER = True
SECURE_CONTENT_TYPE_NOSNIFF = TRUE

В nginx conf я добавил заголовки для включения защиты XSS.

На вкладке сети я вижу типы заголовков в заголовках ответов.Но когда я набираю скрипт в форме (скажем, оповещение), скрипт исполняется, даже если xss включен.

Answer 1

Заголовок X-XSS-Protection имеет дело только с отраженными атаками XSS.

https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-XSS-Protection

Похоже, вы хотите, чтобы браузер вообще не выполнял никаких сценариев?В таком случае я думаю ...

Content-Security-Policy: script-src 'none';

https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Security-Policy/script-src

Могу сделать свое дело.