通过 ZAP 扫描我的应用程序时,我遇到了以下错误。
Web Browser XSS Protection is not enabled, or is disabled by the configuration of the 'X-XSS-Protection' HTTP response header on the web server
CWE ID: 933
WASC ID: 14
当我通过在 web.config 文件中添加属性启用标头属性“X-XSS-Protection”时,该错误得到解决。
但根据我的要求,我需要从网页本身执行此操作。
有没有办法从服务器或客户端站点添加标头?
我试过下面的代码,但没有用。
Response.Headers.Add("X-XSS-Protection", "1");
HttpContext.Current.Response.Headers["X-XSS-Protection"] = "1";