HCL Commerce Version 9.1.2.0 or later

Habilitación de la cabecera X-XSS-Protection

Puede configurar los valores de la cabecera X-XSS-Protection para ayudarle a proteger el sitio contra ataques de script entre sitios. El valor predeterminado impide que algunos navegadores carguen páginas cuando detectan ataques de script entre sitios reflejados.

About this task

Puede ayudar a proteger su sitio de ataques de script entre sitios utilizando la cabecera X-XSS-Protection.

Para obtener más información sobre esta cabecera, consulte la siguiente página de documentación Mozilla.org.

A continuación se muestran los posibles valores para la cabecera X-XSS-Protection:
0
Inhabilita el filtrado XSS.
1
Habilita el filtrado XSS (normalmente es el valor predeterminado en los navegadores). Si se detecta un ataque de script entre sitios, el navegador desinfectará la página (eliminará las partes no seguras).
1; mode=block
Habilita el filtrado XSS. En lugar de desinfectar la página, el navegador impedirá la representación de la página si se detecta un ataque. Este es el valor predeterminado utilizado en Commerce.
1; report=<reporting-URI> (solo en Chromium)
Habilita el filtrado XSS. Si se detecta un ataque de script entre sitios, el navegador desinfectará la página e informará de la infracción. Utiliza la funcionalidad de la directiva CSP report-uri para enviar un informe.

Procedure

  • La clase de HttpSecurityFilter del servidor de transacción añade una cabecera X-XSS-Protection a la respuesta basándose en la configuración especificada de base wc-component.xml. Está habilitada de forma predeterminada para los siguientes parámetros REST-Transaction WAR como se muestra a continuación: 
    <_config:configgrouping name="HttpSecuritySettings_Rest-Transaction">
 <!-- Set the value of X-XSS-Protection header. Empty value will disable this header. The default value stops some browsers from loading pages when they detect reflected cross-site scripting attacks -->
   <_config:property name="X-XSS-ProtectionHeader" value="1; mode=block"/>
</_config:configgrouping>
  • Para personalizar el valor de cabecera X-XSS-Protection o para especificarlo para otros WAR, añada la propiedad correspondiente al archivo de base wc-component.xml ampliado. Para obtener más información sobre cómo crear un archivo de configuración personalizado, consulte Cambio de propiedades en el archivo de configuración de HCL Commerce (wc-component.xml).