Ką veikia X-XSS apsauga?

X-XSS-Protection buvo saugos antraštė, kuri buvo naudojama nuo 4 „Google Chrome“ versijos. Jis buvo sukurtas taip, kad įgalintų įrankį, kuris patikrino svetainės turinį, ar neatsispindi kelių svetainių scenarijai. Dabar visos pagrindinės naršyklės nebepalaiko antraštės, nes joje atsirado saugos trūkumų. Labai rekomenduojama iš viso nenustatyti antraštės ir sukonfigūruoti griežtą turinio saugos politiką.

Patarimas: „Cross-Site Scripting“ paprastai sutrumpinamas iki akronimo „XSS“.

Atspindėtas kelių svetainių scenarijų kūrimas yra XSS pažeidžiamumo klasė, kai išnaudojimas yra tiesiogiai užkoduotas URL ir veikia tik vartotoją, kuris apsilanko URL. Atsispindi XSS yra rizika, kai tinklalapyje rodomi duomenys iš URL. Pavyzdžiui, jei internetinėje parduotuvėje galite ieškoti produktų, jos URL gali atrodyti taip: „website.com/search? terminas=dovana“ ir puslapyje įtraukite žodį „dovana“. Problema prasideda, jei kas nors įveda „JavaScript“ į URL, jei jis nėra tinkamai išvalytas, šis „JavaScript“ gali būti vykdomas, o ne atspausdintas ekrane, kaip turėtų būti. Jei užpuolikas gali apgauti vartotoją, kad šis spustelėtų nuorodą su tokio tipo XSS naudinguoju kroviniu, jis gali atlikti tokius veiksmus, kaip perimti jų seansą.

X-XSS-Protection buvo skirtas aptikti ir užkirsti kelią tokio tipo atakoms. Deja, laikui bėgant buvo rasta daugybė sistemos veikimo būdų ir net pažeidžiamumų. Šie pažeidžiamumai reiškė, kad įdiegus X-XSS-Protection antraštę kitu atveju saugioje svetainėje atsiras kelių svetainių scenarijų pažeidžiamumas.

Norėdami apsisaugoti nuo to, suprasdami, kad turinio saugos politikos antraštė, apskritai sutrumpintas iki „CSP“, apima funkcionalumą jį pakeisti, naršyklės kūrėjai nusprendė atsisakyti funkcija. Dauguma naršyklių, įskaitant „Chrome“, „Opera“ ir „Edge“, arba pašalino palaikymą, arba „Firefox“ atveju jo niekada neįdiegė. Svetainėse rekomenduojama išjungti antraštę, kad apsaugotų tuos vartotojus, kurie vis dar naudoja pasenusias naršykles su įjungta funkcija.

„X-XSS-Protection“ CSP antraštėje gali būti pakeistas nustatymu „nesafe-inline“. Galimybė įjungti šį nustatymą gali užtrukti daug darbo, priklausomai nuo svetainės, nes tai reiškia, kad visas „JavaScript“ turi būti išoriniuose scenarijuose ir negali būti tiesiogiai įtrauktas į HTML.