Insecure HTTP Header Setting: X-XSS-Protection Header

Configuration non sécurisée de l'en-tête HTTP : En-tête X-XSS-Protection

Risk: hardening

Description

L'en-tête de réponse HTTP X-XSS-Protection est une fonctionnalité d'Internet Explorer, de Chrome et de Safari qui empêche le chargement des pages lorsqu'elles détectent des attaques de cross-site scripting (XSS) réfléchi.

Recommandation

Ajoutez l'en-tête X-XSS-Protection avec la valeur "1; mode=block".

X-XSS-Protection: 1; mode=block

Liens

• X-XSS-Protection

Normes

• PCI_STANDARDS:
  • REQ_2_2
  • REQ_6_2
  • REQ_6_3
  • REQ_6_4
  • REQ_11_3
• HIPAA_CONTROLS:
  • SECURITY212
  • SECURITY213