Html 我怎样才能绕过Safari'；s XSS auditor用于在POST上渲染远程flash对象？

我有一个表单，允许你嵌入YouTube视频，当它发布时，它会呈现YouTube视频。问题是Safari（自5.0以来）有一个XSS审核员抛出以下消息：

拒绝加载对象。在请求中找到URL:“http://www.youtube.com/v/ZO7EiX5TqLY?version=3“

---

它在正常情况下工作正常。有没有办法不重定向就绕过这个问题？

POST的规范表示重定向：

如果已在上创建资源 源服务器，响应应为 201（已创建）并包含一个实体 其中描述了 请求并引用新的 资源和位置标头（请参阅 第14.30节）

对此方法的响应不正确 可缓存，除非响应 包括适当的缓存控制或 过期标题字段。但是, 可以使用303（见其他）响应 指示用户代理检索 可缓存资源

---

既然您说它可以处理后续的GET请求，那么这是否意味着您正试图在POST响应中直接返回嵌入的对象？如果是这样的话，这似乎违反了规范，XSS审核员可能就在这里。如果我误解了这个问题，你能澄清一下吗？

我通过webkit上的

abarth

解决了这个问题：

Safari 5试图通过不允许在发布的参数中出现嵌入来防止出现错误

我可以做两件事：

我可以发送

X-XSS-Protection:0

头，这表明我知道我在做什么，并且我自己可以保护自己不受XSS的影响

我不能在param中发送嵌入代码，这实际上对我来说是一个可行的选择，因为嵌入代码无论如何都会被后端剥离