未设置X-XSS-Protection响应头
风险描述:远程Web应用程序没有设置X-XSS-Protection响应头。
此标题使最近的Web浏览器中内置的跨站点脚本(XSS)过滤器成为可能。
它通常默认情况下是启用的,所以如果用户禁用了这个标头,这个标头的作用是重新启用这个特定网站的过滤器。此标头在IE 8+和Chrome中支持(不确定哪些版本)。在Chrome 4中添加了反XSS筛选器。如果该版本符合此标题,则不详。
解决方案:需要在Web应用程序的所有页面上设置以下响应头:X-XSS-Protection:1; mode=block
上一篇:未设置X-Content-Typ
下一篇:未设置Strict-Transp
