как установить Http заголовок X-XSS-Protection - PullRequest
Новая
       76

как установить Http заголовок X-XSS-Protection

28 голосов
/ 08 января 2011

Я пытался поместить это: 

   <meta http-equiv="X-XSS-Protection" content="0">

в тег <head>, но безуспешно.Я пытаюсь избавиться от надоедливого IE, предотвращающего межсайтовую прокрутку

Ответы [ 6 ]

40 голосов
/ 08 января 2011

Я сомневаюсь, что это будет работать как метатег. Возможно, вам придется указать вашему веб-серверу отправить его как настоящий заголовок.

В PHP вы бы сделали это как 

header("X-XSS-Protection: 0");

В ASP.net:

Response.AppendHeader("X-XSS-Protection","0")

В конфигурации Apache: 

Header set  X-XSS-Protection  0

В IIS есть раздел в свойствах для дополнительных заголовков. Часто в нем уже установлено «X-Powered-By: ASP.NET»; Вы просто добавили бы «X-XSS-Protection: 0» в это же место.

13 голосов
/ 16 октября 2014

Если вы используете .Net MVC, вы можете настроить его через customHeaders в Web.Config.

Чтобы добавить эти заголовки, перейдите в узел httpprotocol и добавьте эти заголовки внутри узла customHeaders . 

<httpprotocol> 
    <customheaders> 
        <remove name="X-Powered-By"> 
           <add name="X-XSS-Protection" value="1; mode=block"></add>
        </remove>
    </customheaders> 
</httpprotocol>

Я настоятельно рекомендую эту ссылку, объясняющую, как можно настроить заголовки ответа Secure IIS в ASP.NET MVC: http://insiderattack.blogspot.com/2014/04/configuring-secure-iis-response-headers.html

3 голосов
/ 28 июля 2015

В ASP Classic этот тег сделает это: 

<% Response.AddHeader "X-XSS-Protection", "1" %>
2 голосов
/ 17 июля 2013

В некоторых случаях, если вы используете .htaccess, вам нужно использовать двойные кавычки:

Header set x-xss-protection "1; mode=block"

1 голос
/ 22 августа 2014

В Apache вам нужно отредактировать файл конфигурации, этот файл может быть:

/ и т.д. / apache2 / apache2.conf

/ и т.д. / apache2 / httpd.conf

В файл вы можете добавить эти строки в конце, чтобы включить HTTP Header XSS Protection: 

<IfModule mod_headers.c>
    Header set X-XSS-Protection: "1; mode=block"
</IfModule>

Примечание: если mod_headers является внешним по отношению к основному ядру Apache (не скомпилировано в Apache), то вы должны использовать .so вместо .c - т.е. <IfModule mod_headers.so>

После этого сохраните изменения и перезапустите apache с помощью:

sudo service apache2 restart

или

sudo service httpd restart

Надеюсь, это поможет! :)

0 голосов
/ 21 октября 2015 
# Turn on IE8-IE9 XSS prevention tools
Header set X-XSS-Protection "1; mode=block"

Этот заголовок является исключительным для Internet Explorer 8 и 9, он включает межсайтовую защиту сценариев в IE 8 и IE 9, которая по умолчанию отключена, поскольку может потенциально сломать некоторые веб-сайты.Чтобы включить фильтр XSS, используйте заголовок X-XSS-Protection "1; mode = block".Если вы хотите, чтобы этот фильтр не был включен для вашего сайта, установите значение заголовков в «0»;

http://stopmalvertising.com/security/securing-your-website-with-.htaccess/.htaccess-http-headers.html

...