「X-XSS-Protection」の版間の差分

提供: セキュリティ
移動: 案内検索
行41: 行41:
 
<syntaxhighlight lang="bash">
 
<syntaxhighlight lang="bash">
 
Header set X-XSS-Protection "1; mode=block"
 
Header set X-XSS-Protection "1; mode=block"
 +
</syntaxhighlight>
 +
 +
 +
=== nginx ===
 +
 +
[[nginx]] での設定の例を以下に示します。
 +
<syntaxhighlight lang="bash">
 +
add_header X-XSS-Protection "1; mode=block";
 
</syntaxhighlight>
 
</syntaxhighlight>
  

2013年4月30日 (火) 14:30時点における版

HTTPレスポンスヘッダにX-XSS-Protectionを指定することで、ウェブブラウザに対して、XSSフィルター機能を有効にする指示ができます。 読み方

X-XSS-Protection
 えっくす えっくすえすえす ぷろてくしょん

概要

X-XSS-Protection は、ウェブブラウザXSS フィルターを有効化するためのオプションです。

Internet Explorer 8 から実装されました

WebサーバーからのHTTPレスポンスヘッダの例は、以下の種類があります。

X-XSS-Protection: 1
X-XSS-Protection: 1; mode=block


HTTPレスポンスヘッダに X-XSS-Protection: 0 があると、インターネットオプションの設定よりも優先されます。0 のとき、XSS フィルター機能がオフになります。

Internet Explorer の設定

  • コントロールパネルのインターネットオプションを開く
  • セキュリティ
  • 該当するゾーン
  • レベルのカスタマイズ
  • XSSフィルターを有効にする

検出や防御できるもの

  • HTTPレスポンスの元となるHTTPリクエストにスクリプト注入(XSS)攻撃パターンとみなされるものが含まれていて、そのパターンと同じものがHTTPレスポンスにも出現している
  • HTTPレスポンスの元となるHTTPリクエストを発生させたアクションやリンクが、HTTPレスポンスを返したサイトと異なるサイトから発生したものである
  • 同一のサーバでも、ホスト名による参照とIPアドレスによる参照は、異なるサイトとみなす。

使い方

Apache HTTP Server

Apache HTTP Server での設定の例を以下に示します。

Header set X-XSS-Protection "1; mode=block"


nginx

nginx での設定の例を以下に示します。

add_header X-XSS-Protection "1; mode=block";

関連項目