Qual è il vantaggio di X-XSS-Protection: 0 header in un ambiente di produzione?

7

X-XSS-Protection è un'intestazione non standard ma ampiamente utilizzata che indica ai browser di abilitare o disabilitare la protezione incorporata dagli attacchi XSS riflessi.

La maggior parte dei siti web che visito inviano X-XSS-Protection:1; mode=block o nessuna intestazione, il che, ritengo, ricade sul valore predefinito del browser. D'altra parte, Facebook invia X-XSS-Protection: 0 , qualcosa che ho visto solo nei siti web che dimostrano l'attacco XSS.

Quale potrebbe essere la ragione di questo?

    
posta Jacopo Notarstefano 03.11.2015 - 21:18
fonte

1 risposta

6

Alcuni anni fa, nel 2009, Internet Explorer presentava una implementazione anticipata e buggata dell'analizzatore XSS , e si è constatato che i siti Web perfettamente sicuri potrebbero essere resi vulnerabili, ironia della sorte, da tale mitigazione. Sono stati pubblicati anche alcuni articoli sulla sicurezza che mostrano come IE8 e l'XSS Auditor di Chrome potrebbero essere effettivamente utilizzati come vettore di attacco per implementare gli attacchi XSS.

Più di recente, nel 2014, i revisori XSS hanno mostrato di essere ancora molto bypassabile .

Facebook non si fidava delle implementazioni dei revisori XSS nei browser fin dall'inizio e usava X-XSS-Protection: 0 dal 2009. Ciò dimostra anche una certa confidenza nel loro sistema di template ( XHP ), che dovrebbe essere abbastanza rigoroso da evitare l'introduzione delle vulnerabilità XSS di default.

    
risposta data 04.11.2015 - 01:03
fonte

Leggi altre domande sui tag