「X-XSS-Protection」の版間の差分
提供: セキュリティ
細 |
|||
| 行1: | 行1: | ||
| − | |||
| − | |||
| − | |||
HTTPレスポンスヘッダに[[X-XSS-Protection]]を指定することで、[[ウェブブラウザ]]に対して、[[XSS]]フィルター機能を有効にする指示ができます。 | HTTPレスポンスヘッダに[[X-XSS-Protection]]を指定することで、[[ウェブブラウザ]]に対して、[[XSS]]フィルター機能を有効にする指示ができます。 | ||
| − | 読み方 | + | '''読み方''' |
;[[X-XSS-Protection]]: えっくす えっくすえすえす ぷろてくしょん | ;[[X-XSS-Protection]]: えっくす えっくすえすえす ぷろてくしょん | ||
__TOC__ | __TOC__ | ||
== 概要 == | == 概要 == | ||
| − | |||
[[X-XSS-Protection]] は、[[ウェブブラウザ]] の [[XSS]] フィルターを有効化するためのオプションです。 | [[X-XSS-Protection]] は、[[ウェブブラウザ]] の [[XSS]] フィルターを有効化するためのオプションです。 | ||
| 行21: | 行17: | ||
== Internet Explorer の設定 == | == Internet Explorer の設定 == | ||
| − | |||
* コントロールパネルのインターネットオプションを開く | * コントロールパネルのインターネットオプションを開く | ||
* セキュリティ | * セキュリティ | ||
| 行29: | 行24: | ||
== 検出や防御できるもの == | == 検出や防御できるもの == | ||
| − | |||
* HTTPレスポンスの元となるHTTPリクエストにスクリプト注入([[XSS]])攻撃パターンとみなされるものが含まれていて、そのパターンと同じものが[[HTTPレスポンス]]にも出現している | * HTTPレスポンスの元となるHTTPリクエストにスクリプト注入([[XSS]])攻撃パターンとみなされるものが含まれていて、そのパターンと同じものが[[HTTPレスポンス]]にも出現している | ||
* HTTPレスポンスの元となるHTTPリクエストを発生させたアクションやリンクが、HTTPレスポンスを返したサイトと異なるサイトから発生したものである | * HTTPレスポンスの元となるHTTPリクエストを発生させたアクションやリンクが、HTTPレスポンスを返したサイトと異なるサイトから発生したものである | ||
| 行35: | 行29: | ||
== 使い方 == | == 使い方 == | ||
| − | |||
=== Apache HTTP Server === | === Apache HTTP Server === | ||
| − | |||
[[Apache HTTP Server]] での設定の例を以下に示します。 | [[Apache HTTP Server]] での設定の例を以下に示します。 | ||
<syntaxhighlight lang="bash"> | <syntaxhighlight lang="bash"> | ||
Header set X-XSS-Protection "1; mode=block" | Header set X-XSS-Protection "1; mode=block" | ||
</syntaxhighlight> | </syntaxhighlight> | ||
| − | |||
=== nginx === | === nginx === | ||
| − | |||
[[nginx]] での設定の例を以下に示します。 | [[nginx]] での設定の例を以下に示します。 | ||
<syntaxhighlight lang="bash"> | <syntaxhighlight lang="bash"> | ||
| 行52: | 行42: | ||
== 関連項目 == | == 関連項目 == | ||
| − | |||
* [[XSS]] | * [[XSS]] | ||
* [[脆弱性]] | * [[脆弱性]] | ||
* [[有効なセキュリティに関するHTTPヘッダ]] | * [[有効なセキュリティに関するHTTPヘッダ]] | ||
| + | {{http}} | ||
| + | <!-- vim: filetype=mediawiki --> | ||
2014年2月20日 (木) 23:16時点における版
HTTPレスポンスヘッダにX-XSS-Protectionを指定することで、ウェブブラウザに対して、XSSフィルター機能を有効にする指示ができます。 読み方
- X-XSS-Protection
- えっくす えっくすえすえす ぷろてくしょん
概要
X-XSS-Protection は、ウェブブラウザ の XSS フィルターを有効化するためのオプションです。
Internet Explorer 8 から実装されました
WebサーバーからのHTTPレスポンスヘッダの例は、以下の種類があります。
X-XSS-Protection: 1 X-XSS-Protection: 1; mode=block
HTTPレスポンスヘッダに X-XSS-Protection: 0 があると、インターネットオプションの設定よりも優先されます。0 のとき、XSS フィルター機能がオフになります。
Internet Explorer の設定
- コントロールパネルのインターネットオプションを開く
- セキュリティ
- 該当するゾーン
- レベルのカスタマイズ
- XSSフィルターを有効にする
検出や防御できるもの
- HTTPレスポンスの元となるHTTPリクエストにスクリプト注入(XSS)攻撃パターンとみなされるものが含まれていて、そのパターンと同じものがHTTPレスポンスにも出現している
- HTTPレスポンスの元となるHTTPリクエストを発生させたアクションやリンクが、HTTPレスポンスを返したサイトと異なるサイトから発生したものである
- 同一のサーバでも、ホスト名による参照とIPアドレスによる参照は、異なるサイトとみなす。
使い方
Apache HTTP Server
Apache HTTP Server での設定の例を以下に示します。
Header set X-XSS-Protection "1; mode=block"
nginx
nginx での設定の例を以下に示します。
add_header X-XSS-Protection "1; mode=block";