¿Cuál es el http-cabecera «X-XSS-Protection»?

Así que he estado jugando un poco con HTTP para la diversión en telnet ahora (es decir, con solo teclear en telnet google.com 80 y poner en aleatorio y Puestos con diferentes encabezados y similares), pero me he encontrado con algo que google.com transmite en los encabezados que no sé.

He estado buscando a través de http://www.w3.org/Protocols/rfc2616/rfc2616.html y no han encontrado ninguna definición de este particular http encabezado que google parece ser chorros a cabo:

GET /HTTP/1.1

HTTP/1.1 200 OK
Date: Wed, 01 Feb 2012 03:42:24 GMT
Expires: -1
Cache-Control: private, max-age=0
Content-Type: text/html; charset=ISO-8859-1
Set-Cookie: PREF=ID=6ddbc0a0342e7e63:FF=0:TM=1328067744:LM=1328067744:S=4d4farvCGl5Ww0C3; expires=Fri, 31-Jan-2014 03:42:24 GMT; path=/; domain=.google.com
Set-Cookie: NID=56=PgRwCKa8EltKnHS5clbFuhwyWsd3cPXiV1-iXzgyKsiy5RKXEKbg89gWWpjzYZjLPWTKrCWhOUhdInOlYU56LOb2W7XpC7uBnKAjMbxQSBw1UIprzw2BFK5dnaY7PRji; expires=Thu, 02-Aug-2012 03:42:24 GMT; path=/; domain=.google.com; HttpOnly
P3P: CP="This is not a P3P policy! See http://www.google.com/support/accounts/bin/answer.py?hl=en&answer=151657 for more info."
Server: gws
X-XSS-Protection: 1; mode=block
X-Frame-Options: SAMEORIGIN
Transfer-Encoding: chunked

1000

Alguien sabe qué X-XSS-Protection es?

  • FWIW, la «correcta» lugar para buscar campo de encabezado de especificaciones no es el HTTP spec (actualmente RFC 2616), pero la IANA campos de encabezado de mensaje de registro (que se dice, no aparece por allí)
  • ¿Por qué es eso así? No debería el HTTP spec ser autorizada en HTTP?
  • El HTTP especificación de los delegados de la cabecera del registro de la IANA.
InformationsquelleAutor midc111 | 2012-02-01

4 Kommentare

  1. 101

    X-XSS-Protection es un encabezado HTTP entendido por Internet Explorer 8 (y versiones posteriores).
    Esta cabecera permite a los dominios de activar y desactivar el «Filtro XSS» de IE8, lo que impide que algunas categorías de ataques XSS.
    IE8 tiene el filtro activado por defecto, pero los servidores puede cambiar si fuera por la configuración de

       X-XSS-Protection: 0
    

    Ver también http://blogs.msdn.com/b/ieinternals/archive/2011/01/31/controlling-the-internet-explorer-xss-filter-with-the-x-xss-protection-http-header.aspx

    • Esto es muy vago. Exactamente como hace este encabezado prevenir XSS? Así que ahora IE ve X-XSS-Protection:1 y entonces, ¿qué algoritmo se utiliza para prevenir XSS?
    • Los detalles son difíciles de encontrar ya que es una tecnología propietaria. Esencialmente, es decir, los monitores, si alguno de los sospechosamente-en busca de los parámetros que el navegador envía a un sitio web regresar en la respuesta decodificado. Por ejemplo, si un usuario hace clic en attack-me.com/… (que es «><script>alert(‘XSS’)</script>, y recibe como resultado una página que contiene el script, es decir, va a evitar que.
    • Como tal, a mí me parece (la prueba es difícil de encontrar) que sólo protege contra XSS Reflejado (infosecisland.com/blogview/…), también porque no tiene ningún medio para detectar XSS Almacenado (también llamado Persistente XSS).
    • hmm parece pelusa alrededor de marketing por parte de microsoft en un intento de hacer que IE se vea mejor….
    • Así, se presenta en la comercialización de pelusa, pero el código parece funcionar. Puedes probarlo aquí enhanceie.com/test/xss/BlockMode.asp (también vinculado en la entrada del blog de MSDN).
    • Así que es todo un hombre pobre de la versión de Content-Security-Policy?
    • También tenga en cuenta que la aplicación en IE8 era en realidad problemática: hackademix.net/2009/11/21/…. He encontrado esto a cabo a través de la discusión en github.com/evilpacket/helmet/issues/26

  2. 56
    • X-XSS-Protection: 1 : La fuerza de protección de XSS (útil si la protección de XSS fue desactivada por el usuario)

    • X-XSS-Protection: 0 : Deshabilitar la protección de XSS

    • El token mode=block va a evitar que el navegador IE8+ y los navegadores Webkit) para hacer las páginas (en lugar de sanitización) que si un potencial de XSS reflexión (= no-persistente) ataque es detectado.

    /!\ Advertencia, mode=block crea una vulnerabilidad en IE8 (más info).

    Más información : http://blogs.msdn.com/b/ie/archive/2008/07/02/ie8-security-part-iv-the-xss-filter.aspx y http://blog.veracode.com/2014/03/guidelines-for-setting-security-headers/

  3. 40

    Este encabezado de respuesta puede ser utilizado para configurar un agente de usuario integrado en reflexión y la protección de XSS. En la actualidad, sólo Microsoft Internet Explorer, Google Chrome y Safari (WebKit) apoyo de este encabezado.

    Internet Explorer 8 incluye una nueva característica para evitar que se refleja ataques xss, conocido como el Filtro XSS. Este filtro se ejecuta por defecto en la Internet, de Confianza, y zonas de seguridad Restringida. Zona de Intranet Local páginas pueden optar a la protección usando el mismo encabezado.

    Acerca de la cabecera que has publicado en tu pregunta,

    El encabezado X-XSS-Protection: 1; mode=block permite que el Filtro XSS. En lugar de desinfectar la página, cuando un ataque de XSS es detectado, el navegador va a impedir el procesamiento de la página.

    En Marzo de 2010, hemos añadido a IE8 soporte para un nuevo símbolo en el
    X-XSS-Protection encabezado, mode=bloque.

    X-XSS-Protection: 1; mode=block
    

    Cuando este símbolo está presente, si un potencial de XSS Reflexión ataque es
    detectado, Internet Explorer evitar el procesamiento de la página.
    En lugar de intentar desinfectar la página para remover quirúrgicamente el
    Ataque de XSS, es decir, pagará sólo «#».

    Internet Explorer reconoce un posible ataque de scripts de sitios.
    Registra el evento y muestra un mensaje apropiado para el usuario. El
    Artículo de MSDN describe cómo este encabezado funciona.

    Cómo este filtro funciona en IE,

    Más sobre este artículo, https://blogs.msdn.microsoft.com/ie/2008/07/02/ie8-security-part-iv-the-xss-filter/

    El Filtro XSS opera como una IE8 componente con visibilidad en todos los
    las peticiones /respuestas que fluye a través del navegador. Cuando el filtro
    descubre probable que la vulnerabilidad de XSS en un cross-site request, se identifica y
    los neutros el ataque si es reproducir en la respuesta del servidor. Los usuarios
    no se presenta con preguntas que no puede contestar – es decir, simplemente
    bloquea el script malicioso de la ejecución.

    Con el nuevo Filtro XSS, IE8 Beta 2 usuarios encontrar un Tipo-1 XSS
    ataque verá una notificación como la siguiente:

    IE8 Ataque XSS Notificación

    La página ha sido modificada y el ataque de XSS es bloqueado.

    En este caso, el Filtro XSS ha identificado un cross-site scripting
    ataque en la dirección URL. Se ha castrado este ataque como el identificado
    guión se repitió de nuevo en la página de respuesta. De esta manera, la
    el filtro es eficaz sin la modificación de una solicitud inicial para el servidor
    o el bloqueo de una respuesta completa.

    El Cross-Site Scripting Filtro de evento se registra cuando Windows Internet
    Explorer 8 detecta y mitiga un cross-site scripting (XSS) ataque.
    Ataques xss ocurren cuando un sitio web, generalmente
    malintencionado, que se inyecta (añade) código JavaScript dentro de otro modo legítimo
    las solicitudes a otro sitio web. El original de la solicitud es en general
    inocente, como un enlace a otra página o un Common Gateway Interface
    (CGI) de secuencia de comandos prestación de un servicio común (como un libro de visitas). El
    secuencia de comandos inyectada en general los intentos de acceso a la información privilegiada o
    los servicios que el segundo sitio web no tiene la intención de permitir. El
    la respuesta o la solicitud general, refleja los resultados de vuelta a la
    sitio web malicioso. El Filtro XSS, una característica nueva de Internet Explorer
    8, detecta JavaScript en la URL y solicitudes HTTP POST. Si JavaScript está
    se detecta, el Filtro XSS búsquedas de evidencia de reflexión, información
    que sería devuelto el ataque del sitio web, si el atacante
    la solicitud se presentó sin cambios. Si la reflexión es detectado, el XSS
    Filtro esteriliza el original de la solicitud a fin de que el adicional
    JavaScript no puede ser ejecutado. El Filtro XSS, a continuación, los registros de la acción como
    un Cross-Site Script Filtro de evento. La siguiente imagen muestra un ejemplo
    de un sitio que se ha modificado para evitar un ataque de scripts de sitios.

    Fuente: https://msdn.microsoft.com/en-us/library/dd565647(v=vs 85).aspx

    Los desarrolladores Web pueden desear deshabilitar el filtro de su contenido. Puede hacerlo mediante la configuración de un encabezado HTTP:

    X-XSS-Protection: 0
    

    Más en la seguridad de los encabezados,

  4. 9

    Se puede ver en este Lista de útiles encabezados HTTP.

    X-XSS-Protection: Esta cabecera permite que el Cross-site scripting (XSS) filtro incorporado en la mayoría de los recientes de los navegadores web. Normalmente activado por defecto de todos modos, por lo que la función de este encabezado es para volver a habilitar el filtro de este sitio web en particular si fue desactivada por el usuario. Este encabezado es compatible con IE 8+, y en Chrome (no es seguro que las versiones). El anti-filtro XSS se añadió en Chrome 4. Su desconoce si esa versión honor de este encabezado.

Kommentieren Sie den Artikel

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein

Pruebas en línea