デフォルトでは、VMware Horizon 8 は XSS(クロスサイト スクリプティング)フィルタ機能を使用し、HTTP 応答でヘッダ x-xss-protection=1; mode=block を送信するクロスサイト スクリプティング攻撃を緩和します。

ファイル locked.properties に次のエントリを追加して、この機能を無効にできます。
x-xss-protection=OFF