X-XSS-Protection은 Google Chrome 버전 4부터 있었던 보안 헤더입니다. 반영된 교차 사이트 스크립팅에 대해 웹 사이트의 내용을 확인하는 도구를 활성화하도록 설계되었습니다. 모든 주요 브라우저는 이제 보안 결함이 도입되면서 헤더에 대한 지원을 중단했습니다. 헤더를 전혀 설정하지 않고 대신 강력한 콘텐츠 보안 정책을 구성하는 것이 좋습니다.
팁: Cross-Site Scripting은 일반적으로 "XSS"라는 약어로 축약됩니다.
반영된 교차 사이트 스크립팅은 익스플로잇이 URL에 직접 인코딩되고 URL을 방문하는 사용자에게만 영향을 미치는 XSS 취약점 클래스입니다. 웹 페이지가 URL의 데이터를 표시할 때 반사된 XSS가 위험합니다. 예를 들어 웹 스토어에서 제품을 검색할 수 있는 경우 "website.com/search? term=gift"를 입력하고 페이지에 "gift"라는 단어를 포함합니다. 누군가가 URL에 JavaScript를 넣으면 문제가 시작됩니다. 제대로 정리되지 않으면 이 JavaScript가 화면에 제대로 인쇄되지 않고 실행될 수 있습니다. 공격자가 이러한 종류의 XSS 페이로드가 있는 링크를 클릭하도록 사용자를 속일 수 있는 경우 세션을 인수하는 등의 작업을 수행할 수 있습니다.
X-XSS-Protection은 이러한 유형의 공격을 감지하고 방지하기 위한 것입니다. 불행히도 시간이 지남에 따라 시스템 작동 방식에서 많은 우회와 취약점이 발견되었습니다. 이러한 취약점은 X-XSS-Protection 헤더를 구현하면 보안이 유지되는 웹사이트에 사이트 간 스크립팅 취약점이 발생할 수 있음을 의미합니다.
이를 방지하기 위해 Content Security Policy 헤더가 일반적으로 "CSP"로 단축, 대체하는 기능 포함, 브라우저 개발자는 사용 중단하기로 결정 특징. Chrome, Opera 및 Edge를 포함한 대부분의 브라우저는 지원을 제거했거나 Firefox의 경우 구현하지 않았습니다. 기능이 활성화된 레거시 브라우저를 계속 사용하는 사용자를 보호하기 위해 웹사이트에서 헤더를 비활성화하는 것이 좋습니다.
X-XSS-Protection은 CSP 헤더의 "unsafe-inline" 설정으로 대체할 수 있습니다. 이 설정을 활성화하려면 모든 JavaScript가 외부 스크립트에 있어야 하고 HTML에 직접 포함될 수 없기 때문에 웹사이트에 따라 많은 작업이 필요할 수 있습니다.