Ko dara X-XSS-Protection?

X-XSS-Protection bija drošības galvene, kas pastāv kopš Google Chrome 4. versijas. Tas tika izstrādāts, lai iespējotu rīku, kas pārbauda vietnes saturu, vai tajā nav atspoguļota starpvietņu skriptēšana. Visās lielākajās pārlūkprogrammās galvenes atbalsts tagad ir pārtraukts, jo galu galā tika ieviesti drošības trūkumi. Ir ļoti ieteicams vispār neiestatīt galveni un tā vietā konfigurēt spēcīgu satura drošības politiku.

Padoms. Vairāku vietņu skriptēšana parasti tiek saīsināta līdz akronīmam “XSS”.

Atspoguļota starpvietņu skriptēšana ir XSS ievainojamības klase, kurā ļaunprātīga izmantošana ir tieši kodēta vietrādī URL un ietekmē tikai lietotāju, kas apmeklē vietrādi URL. Atspoguļots XSS ir risks, ja tīmekļa lapā tiek rādīti dati no URL. Piemēram, ja interneta veikals ļauj meklēt produktus, tam var būt URL, kas izskatās šādi “website.com/search? termins=dāvana” un lapā iekļaujiet vārdu „dāvana”. Problēma sākas, ja kāds vietrādī URL ievieto JavaScript, ja tas nav pareizi notīrīts, šis JavaScript var tikt izpildīts, nevis izdrukāts uz ekrāna, kā tam vajadzētu būt. Ja uzbrucējs var mānīt lietotāju, lai viņš noklikšķinātu uz saites ar šāda veida XSS lietderīgo slodzi, viņš var veikt tādas darbības kā, piemēram, pārņemt viņu sesiju.

X-XSS-Protection bija paredzēts, lai atklātu un novērstu šāda veida uzbrukumus. Diemžēl laika gaitā sistēmas darbībā tika atrasti vairāki apiešanas gadījumi un pat ievainojamības. Šīs ievainojamības nozīmēja, ka, ieviešot galveni X-XSS-Protection, citādi drošā vietnē tiktu ieviesta starpvietņu skriptēšanas ievainojamība.

Lai aizsargātu pret to, saprotot, ka satura drošības politikas galvene, kopumā saīsināts līdz “CSP”, ietver funkcionalitāti, lai to aizstātu, pārlūkprogrammas izstrādātāji nolēma pārtraukt pārlūkprogrammas darbību funkciju. Lielākā daļa pārlūkprogrammu, tostarp Chrome, Opera un Edge, ir vai nu noņēmušas atbalstu, vai arī Firefox nekad nav to ieviesušas. Ieteicams vietnēm atspējot galveni, lai aizsargātu tos lietotājus, kuri joprojām izmanto mantotās pārlūkprogrammas ar iespējotu funkciju.

X-XSS-Protection CSP galvenē var aizstāt ar iestatījumu “nedroši-inline”. Šī iestatījuma iespējošana var prasīt daudz darba atkarībā no vietnes, jo tas nozīmē, ka visam JavaScript ir jābūt ārējos skriptos un to nevar iekļaut tieši HTML.