我通过将此代码段添加到.htaccess中来为网站添加额外的X-XSS保护
<IfModule mod_headers.c>
Header set X-XSS-Protection "1; mode=block"
Header always append X-Frame-Options SAMEORIGIN
Header set X-Content-Type-Options nosniff
</IfModule>
它正在运行,但是当我使用OWASP ZAP测试网站时,它仍然在根目录内的所有文件夹上显示有关禁用X-XSS的警告,例如:
https://mywebsite.com/folder/
https://mywebsite.com/images/
等等。
基本上在文件夹上没有标题,这是可以理解的,但是有什么办法可以解决这个问题,以防止OWASP显示警告?
编辑:我找到了一个简单的解决方案。基本上,我只是创建了一个自定义403页面,并编写了htaccess规则以将403响应重定向到该页面。这样,自定义页面将具有自定义HTTP标头。