X-XSS: Proteggi il sito da attacchi Cross Site Scripting
X-XSS-Protezione: l’intestazione abilita il filtro Cross Site Scripting presente nella maggior parte dei browser moderni. Solitamente il filtro è già abilitato, l’intestazione ha il compito di ri-abilitarla per il solo sito interessato, nel caso sia stata disattivata dall’utente.
Per aumentare la sicurezza del tuo sito e dei tuoi utenti ti consigliamo di attivare la protezione X-XSS nel tuo spazio web. Questa funzione è supportata da Internet Explorer e Google Chrome.
Approfondimenti: OWASP – Progetto Intestazioni Sicure (testo inglese)
Attenzione: Protezione già attiva sui server hosting dei piani pro e business.
Per attivare il filtro dovrai editare il file .htaccess presente nella cartella principale del tuo sito (/web).
Se utilizzi un client ftp:
- Accedi alle cartelle del tuo piano con le tue credenziali ftp e posizionati nella cartella /web
- Crea prima una copia del tuo file .htaccess , ad esempio .htaccess.bak
- Scarica il file .htaccess sul tuo pc.
- Apri con un editor di testo il file .htaccess
* ricorda che il file .htaccess con linux è un file nascosto. Abilita opzione “Mostra file nascosti” - Inserisci le seguenti righe nel file:
<IfModule mod_headers.c>
Header set X-XSS-Protection "1; mode=block"
</IfModule>
Utente con Server virtuale o Server Dedicato:
Se hai un server virtuale o un server dedicato puoi attivare la funzione globalmente:
Apri il file di configurazione del server web e inserisci le seguenti righe ad esempio alla fine del file
Header set X-XSS-Protection “1; mode=block”
Inserire la protezione per singoli siti con ISPConfig
Accedere al pannello
- Dal menu selezionare “Siti”
- Editare la maschera del sito interessato.
- Posizionarsi su tab “Opzioni”
L’ultimo campo è Direttive Apache.
Inserire qui le opzioni avanzate di configurazione per il sito.
Sono disponibili numerosi snippets già preconfigurati. Cliccare su una voce per inserirla automaticamente.
Al termine premere “Salva”