我试着把这个:
<meta http-equiv="X-XSS-Protection" content="0">
在<head> 标签中但没有运气。我正在尝试摆脱讨厌的 IE,防止跨站点脚本
【问题讨论】:
标签: internet-explorer http-headers xss
我怀疑它只是一个元标记。您可能必须告诉您的网络服务器将其作为真正的标头发送。
在 PHP 中,你会这样做
header("X-XSS-Protection: 0");
在 ASP.net 中:
Response.AppendHeader("X-XSS-Protection","0")
在 Apache 的配置中:
Header set X-XSS-Protection 0
在 IIS 中,属性中有一个部分用于额外的标头。它通常已经设置了“X-Powered-By:ASP.NET”;您只需将“X-XSS-Protection: 0”添加到同一个地方。
【讨论】:
如果您使用的是 .Net MVC,您可以通过 Web.Config 中的 customHeaders 进行配置。
要添加这些标头,请转到 httpprotocol 节点并将这些标头添加到 customHeaders 节点内。
<httpprotocol>
<customheaders>
<remove name="X-Powered-By">
<add name="X-XSS-Protection" value="1; mode=block"></add>
</remove>
</customheaders>
</httpprotocol>
我强烈推荐这个链接,它解释了如何在 ASP.NET MVC 中配置安全 IIS 响应标头: http://insiderattack.blogspot.com/2014/04/configuring-secure-iis-response-headers.html
【讨论】:
<remove name="X-Powered-By" /> <add name="X-XSS-Protection" value="1; mode=block" />
在 Apache 中,你需要编辑配置文件,这个文件可以是:
/etc/apache2/apache2.conf
/etc/apache2/httpd.conf
您可以在文件末尾添加这些行以启用 HTTP Header XSS 保护:
<IfModule mod_headers.c>
Header set X-XSS-Protection: "1; mode=block"
</IfModule>
注意:如果mod_headers 在主 Apache 核心之外(未编译到 Apache),那么您将使用 .so 而不是 .c - 即。 <IfModule mod_headers.so>
之后,保存更改,然后使用以下命令重新启动 apache:
sudo service apache2 重启
或
sudo 服务 httpd 重启
希望这会有所帮助! :)
【讨论】:
在ASP Classic,这个标签会做:
<% Response.AddHeader "X-XSS-Protection", "1" %>
【讨论】:
在某些情况下,如果使用.htaccess,则需要使用双引号:
Header set x-xss-protection "1; mode=block"
【讨论】:
# Turn on IE8-IE9 XSS prevention tools
Header set X-XSS-Protection "1; mode=block"
此标头是 Internet Explorer 8 和 9 独有的,它在 IE 8 和 IE 9 中打开跨站点脚本保护,默认情况下关闭,因为它可能会破坏某些网站。要打开 XSS 过滤器,请使用标头 X-XSS-Protection "1; mode=block"。如果您希望阻止为您的网站启用此过滤器,请将标题值设置为“0”;
【讨论】: