https://www.yuanmadesign.com/ymdesign/appscan-web-test3Appscan是一款安全漏洞扫描软件,由IBM公司研发,后又被卖给了印度公司HCL。
在web安全测试中,今天我们说下扫描结果中包含X-XSS-Protection请求头header的缺失或不安全的时候,我们该如何应对。
风险:可能会收集有关 Web 应用程序的敏感信息,如用户名、密码、机器名和/或敏感文件位置;可能会劝说初级用户提供诸如用户名、密码、信用卡号、社会保险号等敏感信息。
技术原因:未设置此header时,可能会造成跨站点脚本攻击。
尽管当现代浏览器实施强大的Content-Security-Policy禁用内联 JavaScript('unsafe-inline')的强大功能时,这些保护在很大程度上是不必要的,但它们仍然可以为尚未支持 CSP 的旧版 Web 浏览器的用户提供保护。
X-XSS-Protection: 0 X-XSS-Protection: 1 X-XSS-Protection: 1; mode=block X-XSS-Protection: 1; report=<reporting-uri>
0: 禁止XSS过滤.
1 启用 XSS 过滤(通常在浏览器中默认):如果检测到跨站点脚本攻击,浏览器将清理页面(删除不安全的部分)。
mode = block 启动 XSS 过滤。如果检测到攻击,浏览器将阻止页面的呈现,而不是过滤页面中的XSS内容。
report = <reporting-URI>(仅限 Chromium)启用 XSS 筛选。如果检测到跨站点脚本攻击,浏览器将清理页面并报告违规行为。这使用 CSP report-uri指令的功能发送报告。
当检测到反射的XSS攻击时阻止加载页面:
X-XSS-Protection: 1; mode=block
» 转载保留版权:猿码设计师 » 《web安全测试之appscan – “X-XSS-Protection”头缺失或不安全》
» 本文链接地址:https://www.yuanmadesign.com/ymdesign/appscan-web-test3
» 如果喜欢可以:关注《猿码设计师》公众号