HTTP Header : X-XSS-Protection

X-XSS-Protection

XSS 공격을 막기 위한 방법은 다양한데, X-XSS-Protection는 응답 헤더를 통해 사용자 브라우저의 XSS 보호 옵션을 설정할 수 있는 방법이다. 현재는 마이크로소프트의 인터넷 익스플로러, 구글 크롬 및 사파리가 이 헤더를 지원하고 있다.

값	설명
0	XSS 필터를 비활성화 한다.
1	XSS 필터를 활성화 한다.
1; mode=block	XSS 필터를 활성화 하고, XSS 공격이 감지되었을 때, 브라우저 페이지의 렌더링을 방지한다.
1; report=http://[YOURDOMAIN]/your_report_URI	XSS 필터를 활성화 하고, 페이지를 정제하고 위반사항을 보고한다.

적용은 XSS 필터 설정이 필요한 페이지에서 응답을 보낼 때 X-XSS-Protection 값을 지정하여 반환하는 것이지만, 개발과정이나 조치 과정에서 일일이 설정하는 것은 번거로울 뿐 더러 누락되는 부분이 있을 수 있고, 수정을 해야하는 경우 모든 페이지에 대해 조치를 취해야 하기 때문에 가장 좋은 방법은 웹 서버의 환경설정에서 응답시 헤더에 자동으로 추가하여 반환하도록 하는 것이 좋다.

서버에 X-XSS-Protection 응답헤더를 설정할 경우 다음을 참조한다.

Apache

Header set X-XSS-Protection: 1; mode=block

nginx

add_header X-XSS-Protection "1;mode=block";

lighttpd

setenv.add-response-header = ("X-XSS-Protection" => "1; mode=block",)

※ iis의 경우 환경설정에서 Add Custom HTTP Response Header를 통해 Name에 "X-Xss-Protection" Value에 "1; mode=block"을 기입하여 적용한다.

X-XSS-Protection 응답 헤더를 설정하는 것을 통해 XSS 공격에 대비하기 위한 일부 조치를 취해줄 수 있는 것이므로 서버 관리자 또는 개발자 등은 보안개발(시큐어코딩)등을 고려해 참고해두는 것이 좋겠다.