Seite 1 von 1

Zur Info: MS Edge und X-XSS-Protection sind keine Freunde

Verfasst: Fr 13. Jul 2018, 14:44
von WBTMagnum
Hallo,

Wir hatten gerade das Problem, dass im WYSIWYG-Editor Links bei der Bearbeitung mit MS Edge einfach aus dem Editor gelöscht wurden.

Eine Analyse zeigte, dass Links beim zurückschreiben ins Dokument
  • von: <a href='https://www.webedition.org'>Link</a>
  • auf: <a hr#f='https://www.webedition.org'>Link</a>
umgeschrieben wurden. Das href- bzw. hr#f-Attribut wurde dann vom Editor einfach gelöscht.

Nach langer Suche hat sich dann herausgestellt, dass es sich um einen MS Edge Bug handelt, der die Builds 17.17134 bis 17.17716 betrifft, sh. Als Workaround - wenn man keinen anderen Browser verwenden kann, darf oder will - kann man die X-XSS-Protection deaktivieren, z.B. über .htaccess:

Code: Alles auswählen

<IfModule mod_headers.c>
  # XSS deactivated because of an Edge Bug
  Header set X-XSS-Protection "0"
</IfModule>
Vielleicht erspart das ja jemanden die mühsame Fehlersuche.


Liebe Grüße,
Sascha