XSS-Schwachstelle/DE

Aus Siwecos
Wechseln zu: Navigation, Suche

Überprüfung des X-XSS-Protection Headers.

Check Cross-Site-Scripting Schutz nicht aktiviert oder unzureichend konfiguriert.
Beschreibung Der HTTP-Header X-XSS-Protection definiert wie in Browser eingebaute XSS-Filter konfiguriert werden. Eine Default-Installation kann eine unzureichende Konfiguration offenbaren.
Hintergrund Dieser Header aktiviert die in den meisten aktuellen Browsern (Internet Explorer, Chrome und Safari) eingebauten Cross-Site-Scripting (XSS)-Schutz. Zwar sind diese standardmäßig aktiviert, daher ist dieser Header nur dazu da, den Filter für die Seite wieder zu aktivieren, falls der Benutzer ihn abgeschaltet hat. Zudem wird nur ab dem IE 8+, Opera, Chrome und Safari unterstützt.
Auswirkung Verhindert reflektierte XSS-Angriffe. Einfach zu implementieren und keine weiteren Anpassungen auf der Website erforderlich.
Lösung / Tipps 1; mode=block

Beispielcode einer .htaccess auf einem Apache Webserver.

--snip
   # Turn on XSS prevention tools, activated by default in IE and Chrome
   '''Header set X-XSS-Protection „1; mode=block“'''

—snap

Hier finden Sie ein Beispiel, wie eine .htaccess -Datei aussehen kann, um den HTTP-Security-Header-Scanner Grün zu stimmen. (.htaccess-Beispiel)