HttpヘッダーX-XSS-Protectionを設定する方法
私はこれを入れようとしました:
<meta http-equiv="X-XSS-Protection" content="0">
の中に <head>タグが、運がなかった。厄介なIEクロスサイトスクリプティングを防ぐ
単なるメタタグとして機能するとは思わない。 Webサーバーに実際のヘッダーとして送信するように指示する必要がある場合があります。
PHPでは、次のようにします
header("X-XSS-Protection: 0");
ASP.netの場合:
Response.AppendHeader("X-XSS-Protection","0")
Apacheの設定:
Header set X-XSS-Protection 0
IISには、プロパティに追加ヘッダーのセクションがあります。多くの場合、「X-Powered-By:ASP.NET」がすでに設定されています。同じ場所に「X-XSS-Protection:0」を追加するだけです。
.Net MVCを使用している場合、Web.ConfigのcustomHeadersで構成できます。
これらのヘッダーを追加するには、httpprotocolノードに移動し、customHeadersノード内にそれらのヘッダーを追加します。
<httpprotocol>
<customheaders>
<remove name="X-Powered-By">
<add name="X-XSS-Protection" value="1; mode=block"></add>
</remove>
</customheaders>
</httpprotocol>
ASP.NET MVCで安全なIIS応答ヘッダーを構成する方法を説明するこのリンクを強くお勧めします: http://insiderattack.blogspot.com/2014/04/configuring -secure-iis-response-headers.html
ASP Classic、このタグはそれを行います:
<% Response.AddHeader "X-XSS-Protection", "1" %>
場合によっては、.htaccessを使用する場合、二重引用符を使用する必要があります。
Header set x-xss-protection "1; mode=block"
Apacheでは、構成ファイルを編集する必要があります。このファイルは次のようになります。
/ etc/Apache2/Apache2.conf
/ etc/Apache2/httpd.conf
ファイルの最後に次の行を追加して、HTTPヘッダーXSS保護を有効にできます。
<IfModule mod_headers.c>
Header set X-XSS-Protection: "1; mode=block"
</IfModule>
注:if mod_headersは、Apacheのメインコアの外部にあり(Apacheにコンパイルされていない)、.so のではなく .c-すなわち。 <IfModule mod_headers.so>
その後、変更を保存し、次のコマンドでApacheを再起動します。
SudoサービスApache2の再起動
または
Sudo service httpd restart
お役に立てれば! :)
# Turn on IE8-IE9 XSS prevention tools
Header set X-XSS-Protection "1; mode=block"
このヘッダーはInternet Explorer 8および9専用で、IE 8およびIE 9でクロスサイトスクリプティング保護を有効にします。 XSSフィルターを有効にするには、ヘッダーX-XSS-Protection "1; mode = block"を使用します。このフィルターがWebサイトで有効にならないようにするには、ヘッダーの値を「0」に設定します。 ";