#html #.htaccess #security #xss
#HTML #.htaccess #Безопасность #xss
Вопрос:
Я добавляю дополнительную защиту X-XSS на свои веб-сайты, добавляя этот фрагмент в .htaccess
<IfModule mod_headers.c>
Header set X-XSS-Protection "1; mode=block"
Header always append X-Frame-Options SAMEORIGIN
Header set X-Content-Type-Options nosniff
</IfModule>
И это работает, но когда я тестирую веб-сайт с помощью OWASP ZAP, он по-прежнему показывает предупреждения об отключенных X-XSS во всех папках, присутствующих в корне, например:
https://mywebsite.com/folder/
https://mywebsite.com/images/
и т.д..
В основном в папках нет заголовков, что понятно, но есть ли способ исправить это, чтобы OWASP не показывал предупреждения?
РЕДАКТИРОВАТЬ: я нашел простое решение. По сути, я только что создал пользовательскую страницу 403 и написал правило htaccess для перенаправления ответов 403 на эту страницу. Таким образом, пользовательская страница будет иметь пользовательские заголовки HTTP.
Комментарии:
1. Если ваши папки недоступны для чтения, проблем нет. Zap основан на чтении заголовка.
2. @SPoint Доступ к папкам ограничен, он выдает 403 для ZAP, но он по-прежнему отображается в предупреждениях. Должен ли я просто считать это ложным срабатыванием?
3. да, в этом случае это ложное срабатывание
4. Да, я так и думал, мне все равно удалось удалить предупреждения, создав пользовательскую страницу 403.