可以通过X-XSS-Protection在受影响的页面上发送非标准 HTTP 标头来禁用此“功能” 。

X-XSS-Protection: 0

这是一种防止XSS（跨站点脚本）攻击的安全措施。

当一些 JavaScript 代码通过 HTTP POST 请求发送到服务器，并且相同的代码通过 HTTP 响应返回时，就会发生这种情况。如果 Chrome 检测到这种情况，脚本将被拒绝运行，并且您会收到错误消息Refused to execute a JavaScript script. Source code of script found within request。

另请参阅有关“深入安全：新安全功能”的博客文章。

简短回答：在首次提交 javascript 后刷新页面，或点击将显示您正在编辑的页面的 URL。

长答案：因为你在表单中填写的文本包含 javascript，而浏览器不一定知道你是 javascript 的来源，浏览器假设你不是这个 JS 的来源会更安全，并且不运行它。

一个例子：假设我给了你一个包含一些 javascript 的电子邮件或 facebook 链接。想象一下，javascript 会向你所有的朋友发送我的酷链接。因此，调用该链接的游戏变得很简单，找到一个发送 javascript 的地方，以便将其包含在页面中。

Chrome 和其他 WebKit 浏览器试图通过不执行响应中的任何 javascript（如果它存在于请求中）来降低这种风险。我的恶意攻击将被挫败，因为您的浏览器永远不会运行该 JS。

在您的情况下，您将其提交到表单字段中。表单字段的 Post 会导致页面呈现显示 Javascript，从而导致浏览器担心。但是，如果您的 javascript 确实已保存，则在不提交表单的情况下点击同一页面将允许它执行。

正如其他人所说，当 HTTP 响应包含也在请求中的 JavaScript 和/或 HTML 字符串时，就会发生这种情况。这通常是由于在表单字段中输入 JS 或 HTML 引起的，但也可以通过其他方式触发，例如手动调整 URL 的参数。

这样做的问题是，有恶意的人可以将他们想要的任何 JS 作为值，使用恶意 JS 值链接到该 URL，并给您的用户带来麻烦。

在几乎所有情况下，这都可以通过对响应进行HTML 编码来解决，但也有例外。例如，这对于<script>标签内的内容是不安全的。其他特定情况可以以不同方式处理 - 例如，将输入注入 URL 可以更好地通过 URL 编码提供服务。

正如 Kendall Hopkins 所提到的，在某些情况下，您确实希望表单输入中的 JavaScript 被执行，例如创建像JSFiddle这样的应用程序。在这些情况下，我建议您在盲目地写回之前至少检查后端代码中的输入。之后，您可以使用他提到的方法来防止 XSS 阻塞（至少在 Chrome 中是这样），但请注意，它正在向攻击者开放。

在提交到数据库之后，但在根据我的_GET请求呈现脚本之前，我使用了这个 hacky PHP 技巧。：

if(!empty($_POST['contains_script'])) { 
    echo "<script>document.location='template.php';</script>";
}

这对我来说是最便宜的解决方案。