Τι κάνει το X-XSS-Protection;

Το X-XSS-Protection ήταν μια κεφαλίδα ασφαλείας που υπήρχε από την έκδοση 4 του Google Chrome. Σχεδιάστηκε για να ενεργοποιεί ένα εργαλείο που έλεγχε το περιεχόμενο του ιστότοπου για ανακλώμενες δέσμες ενεργειών μεταξύ τοποθεσιών. Όλα τα μεγάλα προγράμματα περιήγησης έχουν πλέον αποσύρει την υποστήριξη για την κεφαλίδα καθώς κατέληξε να εισάγει ελαττώματα ασφαλείας. Συνιστάται ιδιαίτερα να μην ορίσετε καθόλου την κεφαλίδα και αντ' αυτού να διαμορφώσετε μια ισχυρή Πολιτική Ασφάλειας Περιεχομένου.

Συμβουλή: Η δέσμη ενεργειών μεταξύ τοποθεσιών γενικά συντομεύεται στο ακρωνύμιο "XSS".

Η αντανακλαστική δέσμη ενεργειών μεταξύ τοποθεσιών είναι μια κατηγορία ευπάθειας XSS όπου το exploit κωδικοποιείται απευθείας στη διεύθυνση URL και επηρεάζει μόνο τον χρήστη που επισκέπτεται τη διεύθυνση URL. Το ανακλώμενο XSS είναι ένας κίνδυνος όταν η ιστοσελίδα εμφανίζει δεδομένα από τη διεύθυνση URL. Για παράδειγμα, εάν ένα κατάστημα Ιστού σάς επιτρέπει να αναζητήσετε προϊόντα, μπορεί κάλλιστα να έχει μια διεύθυνση URL που μοιάζει με αυτό το "website.com/search? όρος=δώρο» και συμπεριλάβετε τη λέξη «δώρο» στη σελίδα. Το πρόβλημα ξεκινά εάν κάποιος τοποθετήσει JavaScript στη διεύθυνση URL, εάν δεν έχει απολυμανθεί σωστά, αυτό το JavaScript θα μπορούσε να εκτελεστεί αντί να εκτυπωθεί στην οθόνη όπως θα έπρεπε. Εάν ένας εισβολέας μπορούσε να ξεγελάσει έναν χρήστη για να κάνει κλικ σε έναν σύνδεσμο με αυτό το είδος ωφέλιμου φορτίου XSS, μπορεί να είναι σε θέση να κάνει πράγματα όπως να αναλάβει τη συνεδρία του.

Το X-XSS-Protection προοριζόταν για τον εντοπισμό και την πρόληψη αυτού του τύπου επίθεσης. Δυστυχώς, με την πάροδο του χρόνου βρέθηκαν ορισμένες παρακάμψεις, ακόμη και τρωτά σημεία στον τρόπο λειτουργίας του συστήματος. Αυτά τα τρωτά σημεία σήμαιναν ότι η εφαρμογή της κεφαλίδας X-XSS-Protection θα εισήγαγε μια ευπάθεια δέσμης ενεργειών μεταξύ τοποθεσιών σε έναν κατά τα άλλα ασφαλή ιστότοπο.

Για προστασία από αυτό, με την κατανόηση ότι η κεφαλίδα Πολιτική Ασφάλειας Περιεχομένου, γενικά συντομεύτηκε σε "CSP", περιλαμβάνει λειτουργικότητα για την αντικατάστασή του, οι προγραμματιστές του προγράμματος περιήγησης αποφάσισαν να αποσύρουν το χαρακτηριστικό. Τα περισσότερα προγράμματα περιήγησης, συμπεριλαμβανομένων των Chrome, Opera και Edge είτε έχουν αφαιρέσει την υποστήριξη είτε στην περίπτωση του Firefox, δεν την έχουν εφαρμόσει ποτέ. Συνιστάται στους ιστότοπους να απενεργοποιούν την κεφαλίδα, για να προστατεύουν τους χρήστες που εξακολουθούν να χρησιμοποιούν προγράμματα περιήγησης παλαιού τύπου με ενεργοποιημένη τη δυνατότητα.

Το X-XSS-Protection μπορεί να αντικατασταθεί με τη ρύθμιση "unsafe-inline" στην κεφαλίδα CSP. Η ενεργοποίηση αυτής της ρύθμισης μπορεί να απαιτεί πολλή δουλειά ανάλογα με τον ιστότοπο, καθώς σημαίνει ότι όλα τα JavaScript πρέπει να είναι σε εξωτερικά σενάρια και δεν μπορούν να συμπεριληφθούν απευθείας στο HTML.