XSS-Schwachstelle/DE: Unterschied zwischen den Versionen
| (3 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
| Zeile 1: | Zeile 1: | ||
| − | === | + | === {{:{{PAGENAME}}/Headline}} === |
| + | |||
| + | Bei positivem Ergebnis besteht kein weiterer Handlungsbedarf, bei negativen Ergebnis lesen Sie bitte die folgenden Hinweise. | ||
{| class="wikitable" | {| class="wikitable" | ||
| − | |''' | + | |'''Ergebnis positiv''' || {{:{{PAGENAME}}/Positive}} |
| + | |- | ||
| + | |'''Ergebnis negativ'''|| {{:{{PAGENAME}}/Negative}} | ||
|- | |- | ||
|'''Beschreibung'''|| {{:{{PAGENAME}}/Description}} | |'''Beschreibung'''|| {{:{{PAGENAME}}/Description}} | ||
| Zeile 10: | Zeile 14: | ||
|'''Auswirkung'''|| {{:{{PAGENAME}}/Consequence}} | |'''Auswirkung'''|| {{:{{PAGENAME}}/Consequence}} | ||
|- | |- | ||
| − | |'''Lösung / Tipps'''|| {{:{{PAGENAME}}/Solution_Tips}} | + | |'''Lösung/Tipps'''|| {{:{{PAGENAME}}/Solution_Tips}} |
|} | |} | ||
| − | [[Category:Siwecos-Scanner | + | [[Category:Siwecos-Scanner]] |
{{:{{PAGENAME}}/Category}} | {{:{{PAGENAME}}/Category}} | ||
| − | |||
Aktuelle Version vom 3. April 2019, 16:04 Uhr
Überprüfung des X-XSS-Protection Headers
Bei positivem Ergebnis besteht kein weiterer Handlungsbedarf, bei negativen Ergebnis lesen Sie bitte die folgenden Hinweise.
| Ergebnis positiv | Der Cross-Site Scripting-Schutz (XSS) des Webbrowsers ist auf Ihrer Seite aktiviert. |
| Ergebnis negativ | Der Cross-Site Scripting-Schutz (XSS) ist nicht aktiviert oder unzureichend konfiguriert. |
| Beschreibung | Der HTTP-Header X-XSS-Protection definiert wie in Browsern eingebaute XSS-Filter konfiguriert werden. Eine Default-Installation kann eine unzureichende Konfiguration offenbaren. |
| Hintergrund | Dieser Header aktiviert den in den meisten aktuellen Browsern (Internet Explorer, Chrome und Safari) eingebauten Cross-Site Scripting-Schutz (XSS). Zwar ist der Schutz standardmäßig aktiviert - daher ist dieser Header nur dazu da, den Filter ggfs. wieder zu aktivieren, falls der Benutzer ihn abgeschaltet hat. Zudem wird dieser Header nur ab dem IE 8+, Opera, Chrome und Safari unterstützt. |
| Auswirkung | Verhindert reflektierte XSS-Angriffe. Einfach zu implementieren und erfordert keine weiteren Anpassungen auf der Website. |
| Lösung/Tipps | Wenn gemeldet wurde, dass Ihre Webseite wahrscheinlich nicht ausreichend gegen XSS-Angriffe geschützt ist:
1; mode=block Beispielcode einer .htaccess auf einem Apache Webserver # Turn on XSS prevention tools, activated by default in IE and Chrome Header set X-XSS-Protection "1; mode=block" Hier finden Sie ein Beispiel, wie eine .htaccess-Datei aussehen kann, um einen höheren Wert beim Header Scanner zu erzielen. (.htaccess-Beispiel) |
