XSS-Schwachstelle/DE: Unterschied zwischen den Versionen

Aktuelle Version vom 3. April 2019, 16:04 Uhr

Bei positivem Ergebnis besteht kein weiterer Handlungsbedarf, bei negativen Ergebnis lesen Sie bitte die folgenden Hinweise.

Ergebnis positiv	Der Cross-Site Scripting-Schutz (XSS) des Webbrowsers ist auf Ihrer Seite aktiviert.
Ergebnis negativ	Der Cross-Site Scripting-Schutz (XSS) ist nicht aktiviert oder unzureichend konfiguriert.
Beschreibung	Der HTTP-Header X-XSS-Protection definiert wie in Browsern eingebaute XSS-Filter konfiguriert werden. Eine Default-Installation kann eine unzureichende Konfiguration offenbaren.
Hintergrund	Dieser Header aktiviert den in den meisten aktuellen Browsern (Internet Explorer, Chrome und Safari) eingebauten Cross-Site Scripting-Schutz (XSS). Zwar ist der Schutz standardmäßig aktiviert - daher ist dieser Header nur dazu da, den Filter ggfs. wieder zu aktivieren, falls der Benutzer ihn abgeschaltet hat. Zudem wird dieser Header nur ab dem IE 8+, Opera, Chrome und Safari unterstützt.
Auswirkung	Verhindert reflektierte XSS-Angriffe. Einfach zu implementieren und erfordert keine weiteren Anpassungen auf der Website.
Lösung/Tipps	Wenn gemeldet wurde, dass Ihre Webseite wahrscheinlich nicht ausreichend gegen XSS-Angriffe geschützt ist: 1; mode=block Beispielcode einer .htaccess auf einem Apache Webserver # Turn on XSS prevention tools, activated by default in IE and Chrome Header set X-XSS-Protection "1; mode=block" Hier finden Sie ein Beispiel, wie eine .htaccess-Datei aussehen kann, um einen höheren Wert beim Header Scanner zu erzielen. (.htaccess-Beispiel)

@@ Zeile 1: / Zeile 1: @@
 === {{:{{PAGENAME}}/Headline}} ===
+Bei positivem Ergebnis besteht kein weiterer Handlungsbedarf, bei negativen Ergebnis lesen Sie bitte die folgenden Hinweise.
 {| class="wikitable"
-|'''Check'''|| {{:{{PAGENAME}}/Negative}}
+|'''Ergebnis positiv''' || {{:{{PAGENAME}}/Positive}}
+|-
+|'''Ergebnis negativ'''|| {{:{{PAGENAME}}/Negative}}
 |-
 |'''Beschreibung'''||  {{:{{PAGENAME}}/Description}}