如何设置Http头X-XSS-Protection

Question

我试着这样说：

   <meta http-equiv="X-XSS-Protection" content="0">

在<head>标签中，但一直没有运气。我正在努力摆脱讨厌的IE阻止跨站点搜索

Answer 1

我怀疑它仅仅是一个元标签。您可能需要告诉您的web服务器将其作为真正的报头发送。

在PHP中，您可以这样做

header("X-XSS-Protection: 0");

在ASP.net中：

Response.AppendHeader("X-XSS-Protection","0")

在Apache的配置中：

Header set  X-XSS-Protection  0

在IIS中，属性中有一个额外标头的部分。它通常已经设置了"X-Powered-By: ASP.NET“；您只需在同一位置添加"X-XSS-Protection: 0”即可。

Answer 2

如果你使用的是.Net MVC，你可以在Web.Config中通过customHeaders配置它。

要添加这些标头，请转到httpprotocol节点并在customHeaders节点内添加这些标头。

<httpprotocol> 
    <customheaders> 
        <remove name="X-Powered-By"> 
           <add name="X-XSS-Protection" value="1; mode=block"></add>
        </remove>
    </customheaders> 
</httpprotocol>

我强烈推荐这个链接，它解释了如何在IIS：http://insiderattack.blogspot.com/2014/04/configuring-secure-iis-response-headers.html中配置安全的ASP.NET响应头

Answer 3

在Apache中，您需要编辑配置文件，该文件可以是：

/etc/apache2/apache2.conf

/etc/apache2/httpd.conf

在文件中，您可以在末尾添加以下行，以启用HTTP Header XSS Protection：

<IfModule mod_headers.c>
    Header set X-XSS-Protection: "1; mode=block"
</IfModule>

注意:如果mod_headers在主Apache核心之外(没有编译到Apache中)，那么您应该使用.so而不是.c - ie。<IfModule mod_headers.so>

之后，保存更改，并使用以下命令重新启动apache：

sudo apache2重新启动

或

sudo服务httpd重启

希望这能有所帮助！:)