Заголовок захисту XSS застарів?
2024X-XSS-Protection не підтримується в більшості сучасних браузерів. Chrome, Firefox і Edge більше не перевіряють цей заголовок. Для отримання додаткової інформації див.: X-XSS-Protection. Рекомендоване рішення полягає в застосуванні сильного
замість цього.
The Заголовок відповіді HTTP X-XSS-Protection це функція Internet Explorer, Chrome і Safari, яка зупиняє завантаження сторінок, коли вони виявляють відображені атаки міжсайтового сценарію (XSS).
Уразливості, що дозволяють використовувати XSS, незмінно займають перше чи друге місце серед уразливостей високого ризику за всі три роки тестування Synopsys.. З високоризикових уразливостей, виявлених під час тестів 2022 року, 19% були пов’язані з атаками міжсайтового сценарію.
Як запобігти атакам XSS
- Фільтрувати введення після прибуття. У точці, де отримано введення користувача, відфільтруйте якомога суворіше на основі очікуваного або дійсного введення.
- Кодувати дані на виході. …
- Використовуйте відповідні заголовки відповідей. …
- Політика безпеки вмісту.
Використання заголовків Referer , Origin , Host і X-Requested-With X-Requested-With: HTTP-заголовок XMLHttpRequest може запобігти атакам CSRF, оскільки цей заголовок не можна додати до міждоменного запиту AJAX без згоди сервера через CORS.
Запобігайте виконанню шкідливих сценаріїв і крадіжці інформації користувача блокування вводу HTML, очищення даних, захист файлів cookie та розгортання брандмауерів веб-додатків (WAF).
Ключова відмінність між цими двома атаками полягає в тому, що для CSRF-атаки потрібен автентифікований сеанс, тоді як для XSS-атаки цього не потрібно.Деякі інші відмінності: Оскільки це не вимагає жодної взаємодії з користувачем, XSS вважається більш небезпечним.