web-dev-qa-db-fra.com

comment définir l'en-tête Http X-XSS-Protection

J'ai essayé de mettre ceci:

   <meta http-equiv="X-XSS-Protection" content="0">

dans le <head> tag mais n'ont pas eu de chance. J'essaie de me débarrasser de mesquins IE empêchant le scirptage intersite

internet-explorerhttp-headersxss
28
Aly

Je doute que cela fonctionne comme une simple balise META. Vous devrez peut-être dire à votre serveur Web de l'envoyer en tant qu'en-tête réel.

En PHP, vous le feriez comme

header("X-XSS-Protection: 0");

Dans ASP.net:

Response.AppendHeader("X-XSS-Protection","0")

Dans la configuration d'Apache:

Header set  X-XSS-Protection  0

Dans IIS, il existe une section dans les propriétés pour les en-têtes supplémentaires. Il contient souvent "X-Powered-By: ASP.NET"; vous devez simplement ajouter "X-XSS-Protection: 0" au même endroit.

40
cHao

Si vous utilisez .Net MVC, vous pouvez le configurer via customHeaders dans Web.Config.

Pour ajouter ces en-têtes, accédez au nœud httpprotocol et ajoutez ces en-têtes à l'intérieur des customHeaders nœud.

<httpprotocol> 
    <customheaders> 
        <remove name="X-Powered-By"> 
           <add name="X-XSS-Protection" value="1; mode=block"></add>
        </remove>
    </customheaders> 
</httpprotocol>

Je recommande fortement ce lien qui explique comment pouvez-vous configurer la configuration sécurisée IIS En-têtes de réponse dans ASP.NET MVC: http://insiderattack.blogspot.com/2014/04/configuring -secure-iis-response-headers.html

14
equiman

Dans ASP Classic, cette balise le fera:

<% Response.AddHeader "X-XSS-Protection", "1" %>
3
Hernaldo Gonzalez

Dans certains cas, si vous utilisez .htaccess, vous devez utiliser des guillemets doubles:

Header set x-xss-protection "1; mode=block"

2
gbm

Dans Apache, vous devez modifier le fichier de configuration, ce fichier peut être:

/ etc/Apache2/Apache2.conf

/ etc/Apache2/httpd.conf

Dans le fichier, vous pouvez ajouter ces lignes à la fin pour activer la protection HTTP Header XSS:

<IfModule mod_headers.c>
    Header set X-XSS-Protection: "1; mode=block"
</IfModule>

Remarque: si mod_headers est externe au noyau principal d'Apache (non compilé dans Apache), alors vous utiliseriez .so plutôt que .c - c'est à dire. <IfModule mod_headers.so>

Après cela, enregistrez les modifications et redémarrez Apache avec:

Redémarrage du service Sudo Apache2

ou

redémarrage httpd du service Sudo

J'espère que cela t'aides! :)

1
galoget
# Turn on IE8-IE9 XSS prevention tools
Header set X-XSS-Protection "1; mode=block"

Cet en-tête est exclusif à Internet Explorer 8 et 9, il active la protection de script intersite dans IE 8 et IE 9 qui est désactivé par défaut car il pourrait potentiellement casser certains sites Web. Pour activer le filtre XSS, utilisez l'en-tête X-XSS-Protection "1; mode = block". Si vous souhaitez empêcher l'activation de ce filtre pour votre site Web, définissez la valeur des en-têtes sur "0 ";

http://stopmalvertising.com/security/securing-your-website-with-.htaccess/.htaccess-http-headers.html

0
Won Jun Bae