X-XSS-Protection in PHP

X-XSS-Protection เป็น HTTP response header ที่ใช้ป้องกันการโจมตี XSS (Cross-Site Scripting) โดยเฉพาะอย่างยิ่งในเว็บแอปพลิเคชัน การตั้งค่า header นี้จะช่วยลดความเสี่ยงของการโจมตี XSS ในเว็บไซต์ของคุณได้มาก สำหรับการป้องกัน X-XSS-Protection บน PHP และ CentOS คุณสามารถทำได้โดยการเพิ่มหรือแก้ไขค่าของ HTTP response header ดังนี้


บน PHP

header("X-XSS-Protection: 1; mode=block"); 

การเพิ่ม header นี้จะเปิดใช้งาน X-XSS-Protection และกำหนดโหมดการทำงานเป็น block ซึ่งจะป้องกันการโหลดหน้าเว็บเพื่อป้องกันการโจมตี XSS แบบ "reflective" ซึ่งเป็นการส่งข้อมูลจากผู้ใช้งานไปยังเว็บแอปพลิเคชันแล้วเกิด XSS ขึ้น


บน CentOS

หากคุณใช้ Apache เป็นเว็บเซิร์ฟเวอร์ คุณสามารถกำหนดค่าในไฟล์ httpd.conf หรือ .htaccess ได้โดยใช้ตัวอย่างโค้ดด้านล่าง

<IfModule mod_headers.c> Header set X-XSS-Protection "1; mode=block" </IfModule> 


หากคุณใช้ Nginx เป็นเว็บเซิร์ฟเวอร์ คุณสามารถเพิ่มการกำหนดค่า header โดยใช้ตัวอย่างโค้ดด้านล่าง

add_header X-XSS-Protection "1; mode=block";


0
247