일 | 월 | 화 | 수 | 목 | 금 | 토 |
---|---|---|---|---|---|---|
1 | 2 | |||||
3 | 4 | 5 | 6 | 7 | 8 | 9 |
10 | 11 | 12 | 13 | 14 | 15 | 16 |
17 | 18 | 19 | 20 | 21 | 22 | 23 |
24 | 25 | 26 | 27 | 28 | 29 | 30 |
- 피들러
- HTML5
- c#
- 자바스크립트
- ubuntu
- D330
- 셀프인테리어
- 진단항목
- 단열
- 고전게임
- 이보드
- 안드로이드
- fiddler
- 웹
- 문자열
- Web Programming
- WEB
- retropie
- 보안
- 인테리어
- Lenovo D330-10igm
- 우분투
- 한컴오피스
- network
- 윈도우 8
- 고전게임기 만들기
- 네트워크
- ASP.NET
- D330-10igm
- 인증 및 세션관리
- Today
- Total
Kinesis´s Open Document
HTTP Header : X-XSS-Protection 본문
X-XSS-Protection
XSS 공격을 막기 위한 방법은 다양한데, X-XSS-Protection는 응답 헤더를 통해 사용자 브라우저의 XSS 보호 옵션을 설정할 수 있는 방법이다. 현재는 마이크로소프트의 인터넷 익스플로러, 구글 크롬 및 사파리가 이 헤더를 지원하고 있다.
값 |
설명 |
0 |
XSS 필터를 비활성화 한다. |
1 |
XSS 필터를 활성화 한다. |
1; mode=block |
XSS 필터를 활성화 하고, XSS 공격이 감지되었을 때, 브라우저 페이지의 렌더링을 방지한다. |
1; report=http://[YOURDOMAIN]/your_report_URI |
XSS 필터를 활성화 하고, 페이지를 정제하고 위반사항을 보고한다. |
적용은 XSS 필터 설정이 필요한 페이지에서 응답을 보낼 때 X-XSS-Protection 값을 지정하여 반환하는 것이지만, 개발과정이나 조치 과정에서 일일이 설정하는 것은 번거로울 뿐 더러 누락되는 부분이 있을 수 있고, 수정을 해야하는 경우 모든 페이지에 대해 조치를 취해야 하기 때문에 가장 좋은 방법은 웹 서버의 환경설정에서 응답시 헤더에 자동으로 추가하여 반환하도록 하는 것이 좋다.
서버에 X-XSS-Protection 응답헤더를 설정할 경우 다음을 참조한다.
Apache
Header set X-XSS-Protection: 1; mode=block
nginx
add_header X-XSS-Protection "1;mode=block";
lighttpd
setenv.add-response-header = ("X-XSS-Protection" => "1; mode=block",)
※ iis의 경우 환경설정에서 Add Custom HTTP Response Header를 통해 Name에 "X-Xss-Protection" Value에 "1; mode=block"을 기입하여 적용한다.
X-XSS-Protection 응답 헤더를 설정하는 것을 통해 XSS 공격에 대비하기 위한 일부 조치를 취해줄 수 있는 것이므로 서버 관리자 또는 개발자 등은 보안개발(시큐어코딩)등을 고려해 참고해두는 것이 좋겠다.
'MEMO/기술 자료 > Security' 카테고리의 다른 글
INSECURE RC4 CIPHER (0) | 2019.02.07 |
---|---|
이제는 "모의해킹"이 아니라 "침투테스팅(Penetration Testing)"이다. (2) | 2018.06.07 |
Fiddler : Example for Request-body change script (0) | 2017.03.24 |
SSL - 암호화 스위트(Cipher Suite) 정보 분석표 (6) | 2017.03.24 |
SSL Configure : HTTP Public Key Pinning (HPKP) 설정하기 (0) | 2016.12.28 |
안드로이드(Android) : drozer를 이용한 App 동적분석 배치(bat) 파일 (0) | 2016.11.22 |
루팅 탐지 및 우회 (0) | 2016.07.27 |