[IIS] X-XSS-Protection

Depuis le web.config

 

<configuration>
  <system.webServer>
      <httpProtocol>
         <customHeaders>
            <remove name="X-Powered-By" />
            <add name="X-XSS-Protection" value="1; mode=block" />
            <add name="X-Content-Type-Options" value="nosniff" />
         </customHeaders>
      </httpProtocol>
  </system.webServer>
</configuration>

 

Depuis IIS

 

 

au cas où vous déployez une nouvelle application et remplacez le fichier web.config. il est préférable d'ajouter la configuration au niveau du site IIS comme ci-dessous.

 

IIS > website > IIS Response header
Cliquez sur le site et sélectionnez les "en-têtes de réponse HTTP".
Cliquez sur "ajouter" dans le coin gauche et ajoutez le nom et la valeur comme ci-dessous.