Заголовок Header set X-XSS-Protection "1; mode=block" стал небезопасным

suffix
На сайте с 26.08.2010
Offline
331
927

Если у Вас именно такой заговок установлен, то в настоящее время продвинутые сервисы проверки напишут:

"Your configuration requests blocking when XSS attacks are detected, which is potentially dangerous as it allows attackers to selectively disable portions of of JavaScript code. The only safe approach is to explicitly disable browser-based XSS protection."

Ибо:

"Some browsers ship with so-called XSS Auditors, built-in defenses against XSS. Although these defenses work against simple reflective XSS attacks, they can be abused by skillful attackers to add weaknesses to otherwise secure web sites. These dangers are present in both filtering and blocking modes. At this time, the Safari browser ships with its XSS defenses enabled by default. For this reason, the best approach is to explicitly disable this functionality."

Тоесть теперь правильнее отключать эту защиту путём:

Header set X-XSS-Protection "0"

И тогда:  "Great. XSS protection is explicitly disabled, making this web site safe even with browsers that have this functionality enabled by default"

Весьма удивлён такими изменениями !



Клуб любителей хрюш (https://www.babai.ru)
W1
На сайте с 22.01.2021
Offline
304
#1
suffix :
it allows attackers to selectively disable portions of of JavaScript code

Ну и что это может дать атакующему? Лажа всё это.

Мой форум - https://webinfo.guru –Там я всегда на связи
suffix
На сайте с 26.08.2010
Offline
331
#2
webinfo #:

Лажа всё это.

Это паранойя Ivan Ristić (того самого что modesecurity написал и в SSllabs работал)

:)

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий