Я попытался это сделать:
<meta http-equiv="X-XSS-Protection" content="0">
в теге <head>, но не повезло. Я пытаюсь избавиться от надоедливого IE, предотвращающего кросс-сайт scirpting
Как установить заголовок Http X-XSS-Protection
Ответ 1
Я сомневаюсь, что это будет просто метатег. Возможно, вам придется сообщить своему веб-серверу, что он отправляет его как настоящий заголовок.
В PHP вы бы сделали это как
header("X-XSS-Protection: 0");
В ASP.net:
Response.AppendHeader("X-XSS-Protection","0")
В конфигурации Apache:
Header set X-XSS-Protection 0
В IIS существует раздел свойств для дополнительных заголовков. В нем уже установлен "X-Powered-By: ASP.NET"; вы просто добавили бы "X-XSS-Protection: 0" в это же место.
Ответ 2
Если вы используете .Net MVC, вы можете настроить его через customHeaders в Web.Config.
Чтобы добавить эти заголовки, перейдите в httpprotocol node и добавьте эти заголовки внутри customHeaders node.
<httpprotocol>
<customheaders>
<remove name="X-Powered-By">
<add name="X-XSS-Protection" value="1; mode=block"></add>
</remove>
</customheaders>
</httpprotocol>
Я настоятельно рекомендую эту ссылку, которая объясняет, как вы можете настроить защищенные заголовки IIS в ASP.NET MVC: http://insiderattack.blogspot.com/2014/04/configuring-secure-iis-response-headers.html
Ответ 3
В некоторых случаях, если вы используете .htaccess, вам нужно использовать двойные кавычки:
Header set x-xss-protection "1; mode=block"
Ответ 4
В ASP Classic этот тег будет делать это:
<% Response.AddHeader "X-XSS-Protection", "1" %>
Ответ 5
В Apache вам нужно отредактировать файл конфигурации, этот файл может быть:
файл /etc/apache 2/apache2.conf
/etc/apache2/httpd.conf
В файле вы можете добавить эти строки в конец, чтобы включить HTTP Header XSS Protection:
<IfModule mod_headers.c>
Header set X-XSS-Protection: "1; mode=block"
</IfModule>
Примечание: если mod_headers является внешним по отношению к основному ядру Apache (не скомпилирован в Apache), вы должны использовать .so, а не .c - т.е. <IfModule mod_headers.so>
После этого сохраните изменения и перезапустите apache с помощью:
sudo service apache2 restart
или
sudo service httpd restart
Надеюсь, это поможет!:)
Ответ 6
# Turn on IE8-IE9 XSS prevention tools
Header set X-XSS-Protection "1; mode=block"
Этот заголовок является эксклюзивным для Internet Explorer 8 и 9, он включает защиту межсайтового скриптинга в IE 8 и IE 9, которая по умолчанию отключена, так как это может потенциально нарушить некоторые веб-сайты. Чтобы включить фильтр XSS, используйте заголовок X-XSS-Protection "1; mode = block". Если вы хотите, чтобы этот фильтр не включался для вашего веб-сайта, установите значение заголовков равным "0";