X-XSS-Protection 是一个非标准但广泛使用的标头,它指示浏览器启用或禁用其针对反射 XSS 攻击的内置保护。
我访问的大多数网站都发送X-XSS-Protection:1; mode=block或根本不发送标题,我认为这取决于浏览器的默认设置。另一方面,Facebook 发送X-XSS-Protection: 0,我只在展示 XSS 攻击的网站中看到过。
这可能是什么原因?
X-XSS-Protection: 0 标头在生产环境中有什么好处?
信息安全
xss
2021-08-16 10:23:01
1个回答
几年前,也就是 2009 年,Internet Explorer早期实施的 XSS 审计器确实存在漏洞,但讽刺的是,通过这种缓解措施,发现完全安全的网站可能会变得容易受到攻击。还有一些安全文章展示了 IE8 和 Chrome 的 XSS Auditor 是如何实际用作攻击媒介来实施 XSS 攻击的。
最近,在 2014 年,XSS 审计员被证明仍然非常容易绕过。
Facebook 从一开始就不信任浏览器中的 XSS 审计器的实现,并X-XSS-Protection: 0从 2009 年开始使用。这也显示了他们对模板系统 ( XHP ) 的一些信心,它应该足够严格以避免默认引入 XSS 漏洞。
其它你可能感兴趣的问题