XSS-Schwachstelle/DE

Aus Siwecos
Wechseln zu: Navigation, Suche

Überprüfung des X-XSS-Protection Headers

Check Der Cross-Site Scripting-Schutz (XSS) ist nicht aktiviert oder unzureichend konfiguriert.
Beschreibung Der HTTP-Header X-XSS-Protection definiert wie in Browsern eingebaute XSS-Filter konfiguriert werden. Eine Default-Installation kann eine unzureichende Konfiguration offenbaren.
Hintergrund Dieser Header aktiviert die in den meisten aktuellen Browsern (Internet Explorer, Chrome und Safari) eingebauten Cross-Site Scripting-Schutz (XSS). Zwar sind diese standardmäßig aktiviert, daher ist dieser Header nur dazu da, den Filter für die Seite wieder zu aktivieren, falls der Benutzer ihn abgeschaltet hat. Zudem wird nur ab dem IE 8+, Opera, Chrome und Safari unterstützt.
Auswirkung Verhindert reflektierte XSS-Angriffe. Einfach zu implementieren und erfordert keine weiteren Anpassungen auf der Website.
Lösung/Tipps 1; mode=block

Beispielcode einer .htaccess auf einem Apache Webserver

--snip
   # Turn on XSS prevention tools, activated by default in IE and Chrome
   '''Header set X-XSS-Protection "1; mode=block"'''

—snap

Hier finden Sie ein Beispiel, wie eine .htaccess-Datei aussehen kann, um einen höheren Wert beim Header Scanner zu erzielen. (.htaccess-Beispiel)