- Edited
On Tuesday, October 15, 2013 12:51:42 PM UTC+8, agentzh wrote: > Hello! > > > > 2013/10/14 <fiv...@gmail.com>: > > > 版本:openresty-1.4.2.8 > > > 现象:按照以上配置,访问/get/today只有JSON的输出,但XSS没有生效。 > > > > > > > 检查你的响应的 Content-Type 头。ngx_xss 默认只会对带有 Content-Type: application/json > > 头的响应作处理。如果你使用其他的 Content-Type 响应头的值,应当配置 xss_input_types > > 配置指令(我上封邮件已经提到了)。 > > > > > 看过info级别 log,没提示关于XSS的任何错误信息。只有:using uninitialized "today" variable 的提示。 > > > > > > > ngx_xss 的提示信息是 debug 级别的。请按我上封邮件的建议调用 debug 级别的调试日志。注意,启用调试日志,你需要使用 > > ./configure --with-debug 重新编译 openresty,同时在 nginx.conf 里面配置 error_log > > logs/error.log debug. > > > > Regards, > > -agentzh 已确认是xss_input_types的问题,需使用text/plain. 疑问的是,rds_json出来的是text/plain?