問題
- X-Xss-Protectionを有効にするには、system-ext.properties
http.header.secure.x.xss.protection=1; mode=blockに 以下のプロパティを追加し、サーバーを再起動する。 - しかし、Liferayでは動作しません。
環境
- Liferay DXP 7.4
解像度
-
HTTPヘッダーの
X-XSS-Protectionはデフォルトで1に設定されて いる (マスター )。X-XSS-Protection ヘッダーは完全に非推奨となり、Safariのみが 。 このヘッダーは、さらにセキュリティの脆弱性をもたらす。 - 詳細は以下を参照:
https://owasp.org/www-project-secure-headers/#x-xss-protection
https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-XSS-Protection - このプロパティはDXP 7.4から削除され、HTTPヘッダ `X-XSS-Protection` を有効にすることは推奨されなくなりました。 こちらをご覧ください: https://liferay.atlassian.net/browse/LPE-17301