La mayoría de los navegadores son compatibles con el encabezado X-XSS-Protection para evitar atatcks XSS. ¿Cómo podemos habilitar este encabezado en una aplicación ASP.Net MVC?
¿Necesitamos habilitarlo en la aplicación o necesitamos hacer alguna configuración en el IIS?
Si su aplicación web es una aplicación ASP.Net MVC, es muy fácil habilitarla utilizando el archivo web.config. Todo lo que necesita hacer es agregar un encabezado personalizado como en la siguiente entrada de configuración.
<httpprotocol>
<customheaders>
<remove name="X-Powered-By" />
<add name="X-XSS-Protection" value="1; mode=block" />
</customheaders>
</httpprotocol>
Siempre es mejor si también puede configurar la sección del encabezado de respuesta de IIS.
