禁用的“X-XSS-Protection”标头
info Web App Scanning 插件 ID 112527
语言:
简介
禁用的“X-XSS-Protection”标头描述
HTTP“X-XSS-Protection”响应头是现代浏览器的一项功能,可允许网站控制其 XSS 审计器。服务器未返回正确的“X-XSS-Protection”标头,这意味着该网站可能存在遭受跨站脚本 (XSS) 攻击的风险。
如果不需要旧版浏览器支持,建议使用 Content-Security-Policy 而不允许不安全的内联脚本。
解决方案
配置 Web 服务器,以包含值为“1; mode=block”的“X-XSS-Protection”标头。另见
https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-XSS-Protection
https://www.owasp.org/index.php/OWASP_Secure_Headers_Project#xxxsp
插件详情
严重性: Info
ID: 112527
类型: remote
发布时间: 2018/11/27
最近更新时间: 2024/3/25
扫描模板: basic, config_audit, full, overview, pci, quick, scan