Corsi on-line

Disabilitare il filtro XSS di IE8 lato server

La versione 8 di Internet Explorer include anche un filtro per il blocco dei tentativi di XSS (Cross Site Scripting), questa funzionalità è stata introdotta sul modello di quella già presente in altri browser come per esempio Firefox e in alcuni casi può essere veramente molto utile, in altri casi risulta invece intrusiva tanto da segnalare come attacco XSS anche esecuzioni di script che potenzialmente non dovrebbero causare danni.

Per disabilitare il filtro XSS da una pagina PHP è possibile agire sui request header HTTP introducendo prima di qualsiasi output HTML la seguente stringa di codice:

header("X-XSS-Protection: 0");

La stessa cosa potrà essere effettuata direttamente dal file di configurazione di Apache con la direttiva:

Header set  X-XSS-Protection  0

In ASP.NET lo stesso effetto può essere ottenuto con la seguente riga di codice:

Response.AppendHeader("X-XSS-Protection","0")

Questa operazione permette di bloccare le notifiche di IE8 per gli attacchi XSS e non deve essere considerata in alcun modo una soluzione per eventali limiti di sicurezza nelle proprie applicazioni.

Post correlati
I più letti del mese
Tematiche