Я добавляю дополнительную защиту X-XSS на свои сайты, добавляя этот фрагмент в .htaccess
<IfModule mod_headers.c>
Header set X-XSS-Protection "1; mode=block"
Header always append X-Frame-Options SAMEORIGIN
Header set X-Content-Type-Options nosniff
</IfModule>
И это работает, но когда я тестирую веб-сайт с использованием OWASP ZAP, он по-прежнему показывает предупреждения об отключенном X-XSS во всех папках внутри корня, например:
https://mywebsite.com/folder/
https://mywebsite.com/images/
и т.д ..
По сути, в папках нет заголовков, что понятно, но есть ли способ исправить это, чтобы OWASP не показывал предупреждения?
РЕДАКТИРОВАТЬ: Я нашел простое решение. По сути, я просто создал пользовательскую страницу 403 и написал правило htaccess для перенаправления 403 ответов на эту страницу. Таким образом, пользовательская страница будет иметь пользовательские заголовки HTTP.