浏览器跨站点脚本过滤器禁用
描述:禁用浏览器跨站点脚本滤波器
一些浏览器,包括Internet Explorer,包含旨在防止跨站点脚本(XSS)攻击的内置过滤器。应用程序可以通过设置以下响应标头来指示浏览器禁用此过滤器:
X-XSS保护:0
这种行为本身并不构成脆弱性。在某些情况下,XSS过滤器本身可能会被利用来对应用程序用户进行攻击。但是,在典型的情况下,XSS过滤器确实为应用程序用户提供了针对应用程序中某些XSS漏洞的基本保护。应审查该标头的存在,以确定它是否影响应用程序的安全姿势。
修复:禁用浏览器跨站点脚本过滤器
查看应用程序是否需要禁用XSS过滤器。在大多数情况下,您可以通过使用以下响应标头获得XSS过滤器提供的保护,而无需带来相关风险:
X-XSS保护:1;模式=块
设置此标头时,检测XSS攻击的浏览器将简单地呈现一个空白页面,而不是尝试对注入的脚本进行消毒。引入新的安全问题的可能性要小得多。
参考
脆弱性分类
典型的严重程度
信息
类型索引(HEX)
0x005009b0
类型索引(十进制)
5245360