「X-XSS-Protection」の版間の差分
提供: セキュリティ
細 |
細 |
||
| 行41: | 行41: | ||
<syntaxhighlight lang="bash"> | <syntaxhighlight lang="bash"> | ||
Header set X-XSS-Protection "1; mode=block" | Header set X-XSS-Protection "1; mode=block" | ||
| + | </syntaxhighlight> | ||
| + | |||
| + | |||
| + | === nginx === | ||
| + | |||
| + | [[nginx]] での設定の例を以下に示します。 | ||
| + | <syntaxhighlight lang="bash"> | ||
| + | add_header X-XSS-Protection "1; mode=block"; | ||
</syntaxhighlight> | </syntaxhighlight> | ||
2013年4月30日 (火) 14:30時点における版
HTTPレスポンスヘッダにX-XSS-Protectionを指定することで、ウェブブラウザに対して、XSSフィルター機能を有効にする指示ができます。 読み方
- X-XSS-Protection
- えっくす えっくすえすえす ぷろてくしょん
概要
X-XSS-Protection は、ウェブブラウザ の XSS フィルターを有効化するためのオプションです。
Internet Explorer 8 から実装されました
WebサーバーからのHTTPレスポンスヘッダの例は、以下の種類があります。
X-XSS-Protection: 1 X-XSS-Protection: 1; mode=block
HTTPレスポンスヘッダに X-XSS-Protection: 0 があると、インターネットオプションの設定よりも優先されます。0 のとき、XSS フィルター機能がオフになります。
Internet Explorer の設定
- コントロールパネルのインターネットオプションを開く
- セキュリティ
- 該当するゾーン
- レベルのカスタマイズ
- XSSフィルターを有効にする
検出や防御できるもの
- HTTPレスポンスの元となるHTTPリクエストにスクリプト注入(XSS)攻撃パターンとみなされるものが含まれていて、そのパターンと同じものがHTTPレスポンスにも出現している
- HTTPレスポンスの元となるHTTPリクエストを発生させたアクションやリンクが、HTTPレスポンスを返したサイトと異なるサイトから発生したものである
- 同一のサーバでも、ホスト名による参照とIPアドレスによる参照は、異なるサイトとみなす。
使い方
Apache HTTP Server
Apache HTTP Server での設定の例を以下に示します。
Header set X-XSS-Protection "1; mode=block"
nginx
nginx での設定の例を以下に示します。
add_header X-XSS-Protection "1; mode=block";