Назад | Перейти на главную страницу

Заголовок X-XSS-Protection не установлен для документа HTML, даже если он включен в файле конфигурации

Я включил заголовок X-XSS-Protection в файле web.config:

 <httpprotocol>
    <customheaders>
        <remove name="X-Powered-By" />
        <add name="X-XSS-Protection" value="1; mode=block" />
   </customheaders>
 </httpprotocol>

Теперь заголовок X-XSS-Protection появляется в ответах для text / plain, application / json, text / xml или, например, в запросах изображений, но он не отображается в ответе основного текстового / HTML-документа. Однако кажется, что этот заголовок X-XSS-Protection нужен именно в текстовом / HTML-документе. У вас есть идея, почему это может происходить?

Это работало не так, как ожидалось, потому что я только что добавил настраиваемые заголовки на стороне сервера, а не на стороне клиента. Теперь я добавил их на стороне клиента, и заголовки выглядят так, как ожидалось.