L'intestazione HTTP X-XSS-Protection viene utilizzata per prevenire XSS.
L'intestazione è direttamente correlata al filtro anti-XSS nel browser?
Durante una missione, ho scoperto che Chrome & IE ha bloccato un attacco XSS ma nessuna intestazione X-XSS-Protection HTTP o CSP erano presenti.
Questo comportamento normale?
Is that header directly related to the anti-XSS filter in browser?
Sì.
L'idea è che il valore 0 disabiliti il filtro e 1 abiliti il filtro. Una direttiva sulla modalità aggiuntiva potrebbe - e dovrebbe - essere utilizzata per bloccare completamente il rendering di una pagina se viene rilevato un attacco.
In pratica, non tutti i browser implementano l'intestazione in questo modo. Ad esempio, Chrome non consente l'abilitazione del filtro.
Is [blocking without the header] a normal behaviour?
Sì, le versioni correnti di Chrome e IE abilitano il filtro per impostazione predefinita.
Sì, è la stessa cosa Generalmente, tuttavia, l'impostazione predefinita del browser è "on", l'equivalente di X-XSS-Protection: 1 , quindi non riuscire a includerlo non fa alcuna differenza.
Puoi usarlo per disabilitare le protezioni basate su browser in alcuni casi. Questo può essere utile se si desidera che i payload del tipo XSS vengano inviati al server per qualche motivo. Esempi di questo potrebbero includere le pagine di amministrazione che consentono l'aggiunta di contenuti JavaScript, siti che vengono utilizzati per esercizi di addestramento XSS o sviluppatori che hanno fatto uso di tecniche che sono bloccate dalle protezioni del browser e non vogliono riscrivere il codice.
Leggi altre domande sui tag xss