internet explorer - type - cómo establecer el encabezado Http X-XSS-Protection
x-content-type-options (6)
Dudo que funcione solo como una metaetiqueta. Puede que tenga que decirle a su servidor web que lo envíe como un encabezado real.
En PHP, lo harías como
header("X-XSS-Protection: 0");
En ASP.net:
Response.AppendHeader("X-XSS-Protection","0")
En la configuración de Apache:
Header set X-XSS-Protection 0
En IIS, hay una sección en las propiedades para encabezados adicionales. A menudo tiene "X-Powered-By: ASP.NET" ya configurado en él; simplemente agregaría "X-XSS-Protection: 0" a ese mismo lugar.
He intentado poner esto:
<meta http-equiv="X-XSS-Protection" content="0">
en la etiqueta <head> pero no han tenido suerte. Estoy tratando de deshacerme de molestos IE, lo que impide el scirpting entre sitios
En ASP Classic , esta etiqueta lo hará:
<% Response.AddHeader "X-XSS-Protection", "1" %>
En Apache, necesita editar el archivo de configuración, este archivo podría ser:
/etc/apache2/apache2.conf
/etc/apache2/httpd.conf
En el archivo, puede agregar estas líneas al final para habilitar la protección XSS del encabezado HTTP:
<IfModule mod_headers.c>
Header set X-XSS-Protection: "1; mode=block"
</IfModule>
Nota: si mod_headers es externo al núcleo principal de Apache (no compilado en Apache), entonces usaría .so lugar de .c - es decir. <IfModule mod_headers.so>
Después de eso, guarde los cambios y reinicie Apache con:
sudo service apache2 restart
o
sudo service httpd restart
¡Espero que esto ayude! :)
En algunos casos, si usa .htaccess, debe usar comillas dobles:
Header set x-xss-protection "1; mode=block"
Si está utilizando .Net MVC, puede configurarlo a través de CustomHeaders en Web.Config.
Para agregar estos encabezados, vaya al nodo httpprotocol y agregue esos encabezados dentro del nodo customHeaders .
<httpprotocol>
<customheaders>
<remove name="X-Powered-By">
<add name="X-XSS-Protection" value="1; mode=block"></add>
</remove>
</customheaders>
</httpprotocol>
Recomiendo encarecidamente este enlace que explica cómo puede configurar los Encabezados de respuesta IIS seguros en ASP.NET MVC: http://insiderattack.blogspot.com/2014/04/configuring-secure-iis-response-headers.html
# Turn on IE8-IE9 XSS prevention tools
Header set X-XSS-Protection "1; mode=block"
Este encabezado es exclusivo de Internet Explorer 8 y 9, activa la protección de scripts entre sitios en IE 8 e IE 9, que está desactivada de manera predeterminada, ya que podría dañar algunos sitios web. Para activar el filtro XSS, use el encabezado X-XSS-Protection "1; mode = block". Si desea evitar que este filtro se active para su sitio web, establezca el valor de los encabezados en "0";