Internet Explorer が XSS エラーをスローしないように、Rails 3.2.8 で X-XSS-Protection ヘッダーを「0」に設定しようとしています。ヘッダーの詳細については、この質問とこの記事を参照してください。私は現在、アプリケーションコントローラーでこれを使用しています:
class ApplicationController < ActionController::Base
before_filter :set_headers
def set_headers
response.headers['X-XSS-Protection'] = "0"
end
end
開発中、これによりヘッダーが適切に設定されます。curl -i http://localhost:3000戻り値:
X-XSS-Protection: 0
しかし、本番環境では ( curl -i http://production-app.com) ヘッダーが不適切に小文字化されており、IE はそれを無視しているようです。
X-Xss-Protection: 0
なぜこれが起こっているのか誰にも分かりますか?