ほとんどのブラウザは、XSS攻撃を防ぐためにX-XSS-Protectionヘッダーをサポートしています。 ASP.Net MVCアプリケーションでこのヘッダーを有効にするにはどうすればよいですか?
アプリケーションでそれを有効にする必要がありますか、それともIISで構成を行う必要がありますか?
WebアプリがASP.Net MVCアプリケーションの場合、web.configファイルを使用して簡単に有効にすることができます。次の構成エントリのように、カスタムヘッダーを追加するだけです。
<httpProtocol> <customHeaders> <remove name="X-Powered-By" /> <add name="X-XSS-Protection" value="1; mode=block" /> </customHeaders> </httpProtocol>
IIS応答ヘッダーセクションも同様に構成できる場合は、常に優れています。