web-dev-qa-db-ja.com

ASP.Net MVC WebアプリでX-XSS-Protectionを有効にする

ほとんどのブラウザは、XSS攻撃を防ぐためにX-XSS-Protectionヘッダーをサポートしています。 ASP.Net MVCアプリケーションでこのヘッダーを有効にするにはどうすればよいですか?

アプリケーションでそれを有効にする必要がありますか、それともIISで構成を行う必要がありますか?

3
Gerome Lucus

WebアプリがASP.Net MVCアプリケーションの場合、web.configファイルを使用して簡単に有効にすることができます。次の構成エントリのように、カスタムヘッダーを追加するだけです。

<httpProtocol>
    <customHeaders>
        <remove name="X-Powered-By" />
        <add name="X-XSS-Protection" value="1; mode=block" />
   </customHeaders>
</httpProtocol>

IIS応答ヘッダーセクションも同様に構成できる場合は、常に優れています。

enter image description here

9
user3496510