さっき、ASP.NET MVC 4 で理想的なスマートフォン対応サイトを作成する方法 - しばやん雑記 を書きながら気が付いたのですが、いつの間にかにはてなブログのプレビューで XSS フィルタが自動的に無効になっていました。
通信をキャプチャしてみると、レスポンスに X-XSS-Protection: 0 がバッチリ指定されていました!
XSS フィルタが無効になっていると書くと誤解する人が居そうですが、ちゃんとプレビュー以外は XSS フィルタ有効なのでご安心を。
これからは以下のように {} や () がたっぷり含まれたコードを書いていても、XSS フィルタで真っ白にされることが無い!!
実際に
$(function() { $("#send").click(function() { alert("XSS フィルタ無効だよん"); }); });
とか
public class HomeController { public ActionResult Index() { // 無限ループしろ return RedirectToAction("Index"); } }
書いてみても XSS フィルタが反応して真っ白になることが無くなった\(^o^)/
はてなブログの中の人、ありがとう!!!