Câu hỏi Tiêu đề http “X-XSS-Protection” là gì?


Vì vậy, tôi đã được toying xung quanh với HTTP cho vui trong telnet bây giờ (tức là chỉ cần gõ vào "telnet google.com 80" và đặt trong GET và POST ngẫu nhiên với tiêu đề khác nhau và như thế) nhưng tôi đã đi qua cái gì đó google. com truyền trong tiêu đề của nó mà tôi không biết.

Tôi đã xem xét http://www.w3.org/Protocols/rfc2616/rfc2616.html và đã không tìm thấy định nghĩa nào cho tiêu đề http cụ thể này mà google dường như đang phát ra:

GET / HTTP/1.1

HTTP/1.1 200 OK
Date: Wed, 01 Feb 2012 03:42:24 GMT
Expires: -1
Cache-Control: private, max-age=0
Content-Type: text/html; charset=ISO-8859-1
Set-Cookie: PREF=ID=6ddbc0a0342e7e63:FF=0:TM=1328067744:LM=1328067744:S=4d4farvCGl5Ww0C3; expires=Fri, 31-Jan-2014 03:42:24 GMT; path=/; domain=.google.com
Set-Cookie: NID=56=PgRwCKa8EltKnHS5clbFuhwyWsd3cPXiV1-iXzgyKsiy5RKXEKbg89gWWpjzYZjLPWTKrCWhOUhdInOlYU56LOb2W7XpC7uBnKAjMbxQSBw1UIprzw2BFK5dnaY7PRji; expires=Thu, 02-Aug-2012 03:42:24 GMT; path=/; domain=.google.com; HttpOnly
P3P: CP="This is not a P3P policy! See http://www.google.com/support/accounts/bin/answer.py?hl=en&answer=151657 for more info."
Server: gws
X-XSS-Protection: 1; mode=block
X-Frame-Options: SAMEORIGIN
Transfer-Encoding: chunked

1000

Bất cứ ai cũng biết "X-XSS-Protection" là gì?


165
2018-02-01 03:59


gốc


FWIW, vị trí "chính xác" để tìm kiếm thông số kỹ thuật của trường tiêu đề là không phải thông số HTTP (hiện tại là RFC 2616), nhưng đăng ký trường tiêu đề thư IANA (được nói, nó không được liệt kê ở đó) - Julian Reschke
@ JulianReschke, Tại sao vậy? Thông số HTTP có nên có thẩm quyền trên HTTP không? - Pacerier
Đặc tả HTTP ủy nhiệm đăng ký tiêu đề cho IANA. - Julian Reschke


Các câu trả lời:


X-XSS-Protection là một tiêu đề HTTP được hiểu bởi Internet Explorer 8 (và các phiên bản mới hơn). Tiêu đề này cho phép các tên miền bật và tắt "Bộ lọc XSS" của IE8, ngăn chặn một số loại tấn công XSS. IE8 có bộ lọc được kích hoạt theo mặc định, nhưng máy chủ có thể chuyển đổi nếu tắt bằng cách thiết lập

   X-XSS-Protection: 0

Xem thêm http://blogs.msdn.com/b/ieinternals/archive/2011/01/31/controlling-the-internet-explorer-xss-filter-with-the-x-xss-protection-http-header.aspx


97
2018-04-29 03:30



Điều này rất mơ hồ. Chính xác làm sao tiêu đề này có ngăn chặn XSS không? Vì vậy, bây giờ IE thấy X-XSS-Protection:1 và sau đó, nó sử dụng thuật toán nào để ngăn chặn XSS? - Pacerier
Các chi tiết khó tìm bởi vì nó là một công nghệ độc quyền. Về cơ bản, IE giám sát nếu có bất kỳ tham số đáng ngờ nào mà trình duyệt gửi đến một trang web sẽ trở lại trong phản hồi được giải mã. Ví dụ: nếu người dùng nhấp vào attack-me.com/… (đó là cảnh báo "> <script> ('XSS') </ script> và nhận được kết quả là một trang chứa tập lệnh đó, IE sẽ ngăn chặn điều đó. - Luca Invernizzi
Như vậy, có vẻ như với tôi (bằng chứng khó tìm) rằng nó chỉ bảo vệ chống lại XSS phản chiếu (infosecisland.com/blogview/…), cũng bởi vì nó không có bất kỳ ý nghĩa nào để phát hiện XSS được lưu trữ (còn được gọi là XSS Persistent). - Luca Invernizzi
hmm có vẻ giống như lông tơ xung quanh tiếp thị của microsoft trong nỗ lực để làm cho IE trông tốt hơn .... - code ninja
Vâng, nó được trình bày trong tiếp thị lông tơ, nhưng mã dường như hoạt động. Bạn có thể kiểm tra nó ở đây enhancedie.com/test/xss/BlockMode.asp (cũng được liên kết trong bài đăng trên blog MSDN). - Luca Invernizzi


  • X-XSS-Protection: 1 : Buộc bảo vệ XSS (hữu ích nếu bảo vệ XSS bị vô hiệu hóa bởi người dùng)

  • X-XSS-Protection: 0 : Vô hiệu hóa bảo vệ XSS

  • Mã thông báo mode=block sẽ ngăn trình duyệt (trình duyệt IE8 + và Webkit) hiển thị các trang (thay vì làm vệ sinh) nếu phát hiện thấy một cuộc tấn công XSS tiềm ẩn (= không liên tục) được phát hiện.

/!\ Cảnh báo, mode=block tạo lỗ hổng trong IE8 (thêm thông tin).

Thêm thông tin: http://blogs.msdn.com/b/ie/archive/2008/07/02/ie8-security-part-iv-the-xss-filter.aspx và http://blog.veracode.com/2014/03/guidelines-for-setting-security-headers/


50
2017-07-28 15:00



Để ghi lại, lỗi IE8 đã được sửa (CVE-2009-4074) - yakatz
developer.mozilla.org/es/docs/Web/HTTP/Headers/X-XSS-Protection Trong liên kết này, chúng ta có thể tìm thấy mô tả về X-XSS-Protection - Maria Montenegro


Tiêu đề phản hồi này có thể được sử dụng để định cấu hình bảo vệ XSS phản chiếu của tác nhân người dùng. Hiện tại, chỉ có Internet Explorer, Google Chrome và Safari (WebKit) của Microsoft hỗ trợ tiêu đề này.

Internet Explorer 8 bao gồm một tính năng mới để giúp ngăn chặn các cuộc tấn công tập lệnh cross-site được phản ánh, được gọi là Bộ lọc XSS. Bộ lọc này chạy theo mặc định trong các khu vực bảo mật Internet, Trusted và Restricted. Các trang vùng Intranet cục bộ có thể chọn tham gia bảo vệ bằng cùng một tiêu đề.

Giới thiệu về tiêu đề bạn đã đăng trong câu hỏi của mình,

Tiêu đề X-XSS-Protection: 1; mode=block cho phép Bộ lọc XSS. Thay vì khử trùng trang, khi phát hiện tấn công XSS, trình duyệt sẽ ngăn hiển thị trang.

Vào tháng 3 năm 2010, chúng tôi đã thêm hỗ trợ IE8 cho một mã thông báo mới trong   Tiêu đề X-XSS-Protection, chế độ = khối.

X-XSS-Protection: 1; mode=block

Khi mã thông báo này xuất hiện, nếu tấn công XSS Reflection tiềm năng là   được phát hiện, Internet Explorer sẽ ngăn hiển thị trang.   Thay vì cố gắng vệ sinh trang để giải phẫu   Tấn công XSS, IE sẽ chỉ hiển thị “#”.

Internet Explorer nhận ra một cuộc tấn công tập lệnh cross-site có thể xảy ra.   Nó ghi lại sự kiện và hiển thị một thông báo thích hợp cho người dùng. Các   Bài viết MSDN mô tả cách hoạt động của tiêu đề này.

Cách bộ lọc này hoạt động trong IE,

Xem thêm về bài viết này, https://blogs.msdn.microsoft.com/ie/2008/07/02/ie8-security-part-iv-the-xss-filter/

Bộ lọc XSS hoạt động như một thành phần IE8 với khả năng hiển thị vào tất cả   yêu cầu / phản hồi chảy qua trình duyệt. Khi bộ lọc   phát hiện có khả năng XSS trong một yêu cầu cross-site, nó xác định và   tấn công trung gian nếu nó được phát lại trong phản hồi của máy chủ. Người dùng   không được trình bày với những câu hỏi mà họ không thể trả lời - IE đơn giản   chặn tập lệnh độc hại thực thi.

Với bộ lọc XSS mới, người dùng IE8 Beta 2 gặp phải một XSS Type-1   tấn công sẽ thấy một thông báo như sau:

Thông báo tấn công IE8 XSS

Trang đã được sửa đổi và tấn công XSS bị chặn.

Trong trường hợp này, Bộ lọc XSS đã xác định một kịch bản lệnh cross-site   tấn công trong URL. Nó đã tàn phá cuộc tấn công này như được xác định   tập lệnh được phát lại vào trang phản hồi. Bằng cách này,   bộ lọc có hiệu quả mà không sửa đổi yêu cầu ban đầu đối với máy chủ   hoặc chặn toàn bộ phản hồi.

Sự kiện Bộ lọc tập lệnh chéo được ghi lại khi Windows Internet   Explorer 8 phát hiện và giảm nhẹ một tấn công cross-site scripting (XSS).   Tấn công tập lệnh chéo trang xảy ra khi một trang web, nói chung   độc hại, tiêm (thêm) mã JavaScript vào hợp pháp khác   yêu cầu đến một trang web khác. Yêu cầu ban đầu thường là   vô tội, chẳng hạn như liên kết đến trang khác hoặc Giao diện cổng chung   (CGI) kịch bản cung cấp một dịch vụ phổ biến (chẳng hạn như một lưu bút). Các   tập lệnh được tiêm thường cố gắng truy cập thông tin đặc quyền hoặc   các dịch vụ mà trang web thứ hai không có ý định cho phép. Các   phản hồi hoặc yêu cầu thường phản ánh kết quả về   trang web độc hại. Bộ lọc XSS, một tính năng mới cho Internet Explorer   8, phát hiện JavaScript trong URL và yêu cầu HTTP POST. Nếu JavaScript là   được phát hiện, Bộ lọc XSS tìm kiếm bằng chứng phản ánh, thông tin   sẽ được trả lại trang web tấn công nếu tấn công   yêu cầu được gửi không thay đổi. Nếu phát hiện phản xạ, XSS   Bộ lọc khử trùng yêu cầu ban đầu để bổ sung   Không thể thực thi JavaScript. Bộ lọc XSS sau đó ghi lại hành động đó   sự kiện Bộ lọc tập lệnh chéo trang. Hình ảnh sau đây cho thấy một ví dụ   của trang web được sửa đổi để ngăn chặn tấn công tập lệnh chéo trang web.

Nguồn: https://msdn.microsoft.com/en-us/library/dd565647(v=vs.85).aspx

Các nhà phát triển web có thể muốn vô hiệu hóa bộ lọc cho nội dung của họ. Họ có thể làm như vậy bằng cách đặt tiêu đề HTTP:

X-XSS-Protection: 0

Thông tin thêm về tiêu đề bảo mật trong,


36
2018-01-18 10:46





Bạn có thể thấy trong này Danh sách tiêu đề HTTP hữu ích.

Bảo vệ X-XSS: Tiêu đề này cho phép bộ lọc tập lệnh Cross-site scripting (XSS) được tích hợp vào các trình duyệt web gần đây nhất. Nó thường được kích hoạt theo mặc định, vì vậy vai trò của tiêu đề này là kích hoạt lại bộ lọc cho trang web cụ thể này nếu nó bị vô hiệu hóa bởi người dùng. Tiêu đề này được hỗ trợ trong IE 8+ và trong Chrome (không chắc chắn phiên bản nào). Bộ lọc chống XSS đã được thêm vào Chrome 4. Không biết liệu phiên bản đó có được vinh danh tiêu đề này hay không.


8
2018-02-28 15:24