未設置X-XSS-Protection響應頭
風險描述:遠程Web應用程序沒有設置X-XSS-Protection響應頭。
此標題使最近的Web瀏覽器中內置的跨站點腳本(XSS)過濾器成為可能。
它通常默認情況下是啟用的,所以如果用戶禁用了這個標頭,這個標頭的作用是重新啟用這個特定網站的過濾器。此標頭在IE 8+和Chrome中支持(不確定哪些版本)。在Chrome 4中添加了反XSS篩選器。如果該版本符合此標題,則不詳。
解決方案:需要在Web應用程序的所有頁面上設置以下響應頭:X-XSS-Protection:1; mode=block
上一篇:未設置X-Content-Typ
下一篇:未設置Strict-Transp
