HCL Commerce Version 9.1.2.0 or later

Activation de l'en-tête X-XSS-Protection

Vous pouvez configurer les paramètres d'en-tête X-XSS-Protection pour vous aider à protéger votre site contre les attaques par script intersite. La valeur par défaut empêche certains navigateurs de charger des pages lorsqu'ils détectent des attaques par script intersite.

About this task

Vous pouvez aider à protéger votre site contre les attaques par script intersite à l'aide de l'en-tête X-XSS-Protection.

Pour plus d'informations sur cet en-tête, consultez la page Documentation Mozilla.org.

Les valeurs possibles de votre en-tête X-XSS-Protection sont les suivantes :
0
Désactive le filtrage XSS.
1
Active le filtrage XSS (généralement par défaut dans les navigateurs). Si une attaque par script intersite est détectée, le navigateur assainit la page (supprime les parties qui ne sont pas sûres).
1; mode=block
Active le filtrage XSS. Au lieu d'assainir la page, le navigateur empêchera le rendu de la page si une attaque est détectée. Il s'agit du paramètre par défaut utilisé dans Commerce.
1; report=<reporting-URI> (Chromium uniquement)
Active le filtrage XSS. Si une attaque par script intersite est détectée, le navigateur assainit la page et signale la violation. Il utilise la fonctionnalité de l'instructionreport-uri CSP pour envoyer un rapport.

Procedure

  • La classe du serveur de transactions HttpSecurityFilter ajoute un en-tête X-XSS-Protection à la réponse en fonction de la configuration spécifiée dans la base wc-component.xml. Elle est activée par défaut pour le WAR REST-Transaction suivant par défaut comme suit : 
    <_config:configgrouping name="HttpSecuritySettings_Rest-Transaction">
 <!-- Set the value of X-XSS-Protection header. Empty value will disable this header. The default value stops some browsers from loading pages when they detect reflected cross-site scripting attacks -->
   <_config:property name="X-XSS-ProtectionHeader" value="1; mode=block"/>
</_config:configgrouping>
  • Pour personnaliser la valeur d'en-tête X-XSS-Protection ou pour la spécifier pour d'autres WAR, ajoutez la propriété correspondante à votre fichier wc-component.xml de base étendu. Pour plus d'informations sur la façon de créer un fichier de configuration personnalisé, voir Modification des propriétés dans le fichier de configuration du HCL Commerce (wc-component.xml).