「X-XSS-Protection」の版間の差分

提供: セキュリティ
移動: 案内検索
(ページの作成:「<!-- vim: filetype=mediawiki --> 読み方 ;X-XSS-Protection: えっくす えっくすえすえす ぷろてくしょん __TOC__ == 概要 == [[X-XSS-Protecti...」)
(相違点なし)

2013年4月28日 (日) 12:34時点における版


読み方

X-XSS-Protection
 えっくす えっくすえすえす ぷろてくしょん

概要

X-XSS-Protection は、ウェブブラウザXSS フィルターを有効化するためのオプションです。

Internet Explorer 8 から実装されました

WebサーバーからのHTTPレスポンスヘッダの例は、以下の種類があります。

X-XSS-Protection: 1
X-XSS-Protection: 1; mode=block


HTTPレスポンスヘッダに X-XSS-Protection: 0 があると、インターネットオプションの設定よりも優先されます。0 のとき、XSS フィルター機能がオフになります。

Internet Explorer の設定

  • コントロールパネルのインターネットオプションを開く
  • セキュリティ
  • 該当するゾーン
  • レベルのカスタマイズ
  • XSSフィルターを有効にする

検出や防御できるもの

  • HTTPレスポンスの元となるHTTPリクエストにスクリプト注入(XSS)攻撃パターンとみなされるものが含まれていて、そのパターンと同じものがHTTPレスポンスにも出現している
  • HTTPレスポンスの元となるHTTPリクエストを発生させたアクションやリンクが、HTTPレスポンスを返したサイトと異なるサイトから発生したものである
  • 同一のサーバでも、ホスト名による参照とIPアドレスによる参照は、異なるサイトとみなす。

使い方

Apache HTTP Server

Apache HTTP Server での設定の例を以下に示します。

Header set X-XSS-Protection "1; mode=block"

関連項目