「X-XSS-Protection」の版間の差分
提供: セキュリティ
(ページの作成:「<!-- vim: filetype=mediawiki --> 読み方 ;X-XSS-Protection: えっくす えっくすえすえす ぷろてくしょん __TOC__ == 概要 == [[X-XSS-Protecti...」) |
細 |
||
| 行2: | 行2: | ||
vim: filetype=mediawiki | vim: filetype=mediawiki | ||
--> | --> | ||
| − | + | HTTPレスポンスヘッダに[[X-XSS-Protection]]を指定することで、[[ウェブブラウザ]]に対して、[[XSS]]フィルター機能を有効にする指示ができます。 | |
読み方 | 読み方 | ||
;[[X-XSS-Protection]]: えっくす えっくすえすえす ぷろてくしょん | ;[[X-XSS-Protection]]: えっくす えっくすえすえす ぷろてくしょん | ||
| 行47: | 行47: | ||
* [[XSS]] | * [[XSS]] | ||
* [[脆弱性]] | * [[脆弱性]] | ||
| + | * [[有効なセキュリティに関するHTTPヘッダ]] | ||
2013年4月29日 (月) 19:05時点における版
HTTPレスポンスヘッダにX-XSS-Protectionを指定することで、ウェブブラウザに対して、XSSフィルター機能を有効にする指示ができます。 読み方
- X-XSS-Protection
- えっくす えっくすえすえす ぷろてくしょん
概要
X-XSS-Protection は、ウェブブラウザ の XSS フィルターを有効化するためのオプションです。
Internet Explorer 8 から実装されました
WebサーバーからのHTTPレスポンスヘッダの例は、以下の種類があります。
X-XSS-Protection: 1 X-XSS-Protection: 1; mode=block
HTTPレスポンスヘッダに X-XSS-Protection: 0 があると、インターネットオプションの設定よりも優先されます。0 のとき、XSS フィルター機能がオフになります。
Internet Explorer の設定
- コントロールパネルのインターネットオプションを開く
- セキュリティ
- 該当するゾーン
- レベルのカスタマイズ
- XSSフィルターを有効にする
検出や防御できるもの
- HTTPレスポンスの元となるHTTPリクエストにスクリプト注入(XSS)攻撃パターンとみなされるものが含まれていて、そのパターンと同じものがHTTPレスポンスにも出現している
- HTTPレスポンスの元となるHTTPリクエストを発生させたアクションやリンクが、HTTPレスポンスを返したサイトと異なるサイトから発生したものである
- 同一のサーバでも、ホスト名による参照とIPアドレスによる参照は、異なるサイトとみなす。
使い方
Apache HTTP Server
Apache HTTP Server での設定の例を以下に示します。
Header set X-XSS-Protection "1; mode=block"