遺漏「X-XSS-Protection」標頭

info Web App Scanning Plugin ID 112526

語系：

概要

說明

HTTP「X-XSS-Protection」回應標頭是現代瀏覽器的一項功能，可讓網站控制其 XSS 稽核者。

伺服器未設定為傳回「X-XSS-Protection」標頭，這表示此網站的任何頁面可能會受到跨網站指令碼 (XSS) 攻擊。此 URL 已標記為特定範例。

如果不需要舊版瀏覽器支援，建議改用不允許不安全內嵌指令碼的 Content-Security-Policy。

解決方案

將 Web 伺服器設定為所有頁面均包含具有「1; mode=block」值的「X-XSS-Protection」標頭。

另請參閱

https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-XSS-Protection

https://www.owasp.org/index.php/OWASP_Secure_Headers_Project#xxxsp

Plugin 詳細資訊

嚴重性: Info

ID: 112526

類型: remote

系列: HTTP Security Header

已發布: 2018/11/27

已更新: 2024/3/25

掃描範本: basic, config_audit, full, overview, pci, quick, scan