ASP.Net MVC WebアプリでX-XSS-Protectionを有効にする

Question

ほとんどのブラウザは、XSS攻撃を防ぐためにX-XSS-Protectionヘッダーをサポートしています。 ASP.Net MVCアプリケーションでこのヘッダーを有効にするにはどうすればよいですか？

アプリケーションでそれを有効にする必要がありますか、それともIISで構成を行う必要がありますか？

user3496510 · Answer

WebアプリがASP.Net MVCアプリケーションの場合、web.configファイルを使用して簡単に有効にすることができます。次の構成エントリのように、カスタムヘッダーを追加するだけです。

<httpProtocol> <customHeaders> <remove name="X-Powered-By" /> <add name="X-XSS-Protection" value="1; mode=block" /> </customHeaders> </httpProtocol>

IIS応答ヘッダーセクションも同様に構成できる場合は、常に優れています。