「X-XSS-Protection」ヘッダーが無効になっています

info Web App Scanning プラグイン ID 112527

概要

「X-XSS-Protection」ヘッダーが無効になっています

説明

HTTP の「X-XSS-Protection」応答ヘッダーは、最新のブラウザの機能であり、Web サイトが XSS 監査をコントロールできるようにします。

サーバーが正しい「X-XSS-Protection」ヘッダーを返しませんでした。これは、この Web サイトがクロスサイトスクリプティング (XSS) 攻撃のリスクにさらされている可能性があることを意味します。

レガシーブラウザのサポートが必要ない場合は、安全でないインラインスクリプトを許可せずに Content-Security-Policy を使用することをお勧めします。

ソリューション

「1; mode=block」の値を持つ「X-XSS-Protection」ヘッダーを含めるように Web サーバーを構成します。

参考資料

https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-XSS-Protection

https://www.owasp.org/index.php/OWASP_Secure_Headers_Project#xxxsp

プラグインの詳細

深刻度: Info

ID: 112527

タイプ: remote

ファミリー: HTTP Security Header

公開日: 2018/11/27

更新日: 2024/3/25

スキャン テンプレート: basic, config_audit, full, overview, pci, quick, scan