English

◀◁ 뒤로 취약점ID 210180 위험도 20 포트 80, ... 프로토콜 TCP 분류 CGI 상세설명 웹 브라우저 XSS Protection이 웹 서버에서 'X-XSS-Protection' HTTP 응답 헤더의 구성에 의해 사용 가능하지 않거나 사용 불가능합니다. * 참고 사이트: https://www.owasp.org/index.php/Security_Headers * 영향을 받는 플랫폼: Any operating system Any version 해결책 * Apache의 httpd.conf 파일에 다음과 같이 정의합니다. <IfModule mod_headers.c> Header set Content-Security-Policy "script-src 'self' ; img-src 'self'; style-src 'self' 'unsafe-inline';connect-src http:; child-src 'unsafe-inline'" Header set X-Content-Type-Options nosniff Header set X-XSS-Protection "1;mode=block" Header set Cache-Control "no-store" Header set Pragma "no-cache" Header set X-Frame-Options SAMEORIGIN </IfModule> * WAS는 필터 등을 이용하여 response에 해당 헤더를 보냅니다. response.setHeader("X-XSS-Protection","1;mode=block"); 관련 URL (CVE) 관련 URL (SecurityFocus) 관련 URL (ISS)