Недавно мы переключили наш код facebook js на использование нового javascript SDK. Раньше публикация потока корректно публиковалась на стене пользователя во всех браузерах, но с новым js любая публикация потока, выполненная в IE8, запускает фильтр XSS IE, и публикация не может быть опубликована.
Есть ли обходные пути или известные причины того, почему IE8 действует таким образом во время публикации потока?
Я смог исправить это, используя устаревший объект вложения при создании публикации потока. Странный...
Это определенно зависит от данных, которые передаются для настенного столба. Если имеется слишком много «странных» символов, IE считает, что это атака межсайтового скриптинга.
Кажется, что особенно проблематичны международные символы: http://forum.developers.facebook.net/viewtopic.php?pid=324133.
Для меня не было международных персонажей, и это все равно было неудачей. Когда я изменил URL-адрес, чтобы в нем не было вопросительных знаков или амперсандов, предупреждение IE XSS прекратилось.
Я бы рекомендовал избегать любых символов, не предназначенных для печати в формате ascii, в заголовке или описании сообщения и использовать как можно меньше не буквенно-цифровых символов в ваших URL-адресах.
Некоторые разработчики говорят, что Facebook может исправить это, если добавит заголовок
X-XSS-Protection: 0
на некоторые из их HTTP-ответов. Вы можете проголосовать за эту ошибку, если хотите, чтобы Facebook решал эту проблему на своей стороне: http://bugs.developers.facebook.net/show_bug.cgi?id=12912
