http://stopmalvertising.com/security/securing-your-website-with-.htaccess/.htaccess-http-headers.html

ытался поставить это:

   <meta http-equiv="X-XSS-Protection" content="0">

в<head> тег, но не повезло. Я пытаюсь избавиться от надоедливого IE, предотвращающего обход сайтов

 Christian Joudrey08 янв. 2011 г., 19:23
Попробуйте отправить его как заголовок HTTP, может быть?
 Aly08 янв. 2011 г., 19:24
Как мне это сделать? извините, я новичок в настройке заголовков

Ответы на вопрос(6)

customHeaders в Web.Config.

Чтобы добавить эти заголовки, перейдите кhttpprotocol узел и добавить эти заголовки внутриcustomHeaders узел.

<httpprotocol> 
    <customheaders> 
        <remove name="X-Powered-By"> 
           <add name="X-XSS-Protection" value="1; mode=block"></add>
        </remove>
    </customheaders> 
</httpprotocol>

Я настоятельно рекомендую эту ссылку, которая объясняет, как вы можете настроить Secure IIS Response Headers в ASP.NET MVC:http://insiderattack.blogspot.com/2014/04/configuring-secure-iis-response-headers.html

 Mahmoud Samy10 апр. 2017 г., 18:15
@Equiman Я изменил это после попытки существующего ответа. Предлагаемые изменения фактически запущены в производство.
 equiman03 нояб. 2015 г., 01:40
Закрытие тега @shadyshrif отлично подходит для кода. Посмотрите: </ add> </ remove>
 equiman10 апр. 2017 г., 17:56
@ mahmoud-samy, пожалуйста, перестань неправильно редактировать этот ответ. Автоматическое закрытие тегов не является решением, вы закрываете удалить тег перед добавлением, и это неправильно. Пожалуйста, посмотрите на ссылку, которую я разместил. Вы тестировали решение, которое пытаетесь редактировать?
 ABB14 сент. 2017 г., 08:51
Изменения, предложенные теневым шерифом, верны, в противном случае это показывает ошибку.
 shady sherif02 нояб. 2015 г., 22:13
закрытие тега было неправильно, вам нужно поместить эти две строки внутри тега customheaders<remove name="X-Powered-By" /> <add name="X-XSS-Protect,ion" value="1; mode=block" />
Решение Вопроса

что это будет работать как метатег. Возможно, вам придется указать вашему веб-серверу отправить его как настоящий заголовок.

В PHP вы бы сделали это как

header("X-XSS-Protection: 0");

В ASP.net:

Response.AppendHeader("X-XSS-Protection","0")

В конфиге Apache:

Header set  X-XSS-Protection  0

В IIS есть раздел в свойствах для дополнительных заголовков. Часто в нем уже установлено «X-Powered-By: ASP.NET»; Вы просто добавили бы «X-XSS-Protection: 0» в это же место.

 Aly13 февр. 2011 г., 13:40
добавить это в файл .htaccess в корневом каталоге моего сайта?
 cHao08 янв. 2013 г., 03:21
@AdilMalik: Извините, мне никогда не приходилось работать с CF. Документы выглядят так, как будто это будет правильно. Заголовок просто не отображается в ответе, или есть ошибка, или что?
 Adil Malik07 янв. 2013 г., 20:36
Я пробовал это в Coldfusion: <cfheader name = "X-XSS-Protection" value = "0"> Но это не работает для меня. Есть идеи о Coldfusion?
 cHao13 февр. 2011 г., 19:07
Если вы хотите, чтобы это относилось ко всему сайту, да.
 EricLaw08 янв. 2011 г., 22:16
Правильно, это не поддерживается как заголовок HTTP.
# Turn on IE8-IE9 XSS prevention tools
Header set X-XSS-Protection "1; mode=block"

он включает межсайтовую защиту сценариев в IE 8 и IE 9, которая по умолчанию отключена, поскольку может потенциально сломать некоторые сайты. Чтобы включить фильтр XSS, используйте заголовок X-XSS-Protection "1; mode = block". Если вы хотите, чтобы этот фильтр не был включен для вашего сайта, установите значение заголовков в «0»;

http://stopmalvertising.com/security/securing-your-website-with-.htaccess/.htaccess-http-headers.html

ВASP Classicэтот тег сделает это:

<% Response.AddHeader "X-XSS-Protection", "1" %>

этот файл может быть:

файл /etc/apache2/apache2.conf

/etc/apache2/httpd.conf

В файл вы можете добавить эти строки в конце, чтобы включить HTTP Header XSS Protection:

<IfModule mod_headers.c>
    Header set X-XSS-Protection: "1; mode=block"
</IfModule>

Примечание: еслиmod_headers является внешним по отношению к основному ядру Apache (не скомпилировано в Apache), тогда вы бы использовали.so скорее, чем.c - т.е.<IfModule mod_headers.so>

После этого сохраните изменения и перезапустите apache с помощью:

перезапуск службы sudo apache2

или же

sudo service httpd restart

Надеюсь это поможет! :)

 GµårÐïåñ09 авг. 2015 г., 23:59
Я знаю, что это было давно, но я столкнулся с этим во время поиска чего-то, и я не думаю, что вы поставили: послеProtection если вы помещаете это в файл .htaccess, не так ли?

если вы используете .htaccess, вам нужно использовать двойные кавычки:

Header set x-xss-protection "1; mode=block"

Ваш ответ на вопрос