0x00 背景

HTTP XSS-Protection响应标头是Internet Explorer,Chrome和Safari的功能,当页面检测到反射的跨站点脚本(XSS)攻击时,该页面将阻止加载页面。 尽管当站点实施强大的Content-Security-Policy禁止使用内JavaScript(“不安全内联”)时。

在现代浏览器中这些保护在很大程度上是不必要的,但它们仍可以为尚未使用旧版Web浏览器的用户提供保护 支持CSP。

0x01 修复思路

配置XSS-Protection响应标头值

X-XSS-Protection: 0 #禁用XSS过滤。

X-XSS-Protection: 1 #启用XSS过滤(通常是浏览器中的默认设置)。 如果检测到跨站点脚本攻击,则浏览器将对页面进行清理(删除不安全的部分)。

X-XSS-Protection: 1; mode=block #模式=阻止

启用XSS过滤。 如果检测到攻击,浏览器将不呈现页面,而不会清除页面。

X-XSS-Protection: 1; report=<reporting-uri>

1; report = <reporting-URI>(仅支持Chrome浏览器),启用XSS过滤。 如果检测到跨站点脚本攻击,浏览器将清理该页面并报告违规行为。 这使用CSP report-uri指令的功能来发送报告。

0x02 代码修复

推荐配置:X-XSS-Protection: 1; mode=block

Nginx

add_header "X-XSS-Protection" "1; mode=block";

Apache (.htaccess)

<IfModule mod_headers.c>

Header set X-XSS-Protection "1; mode=block"

</IfModule>

PHP

header("X-XSS-Protection: 1; mode=block");

XSS-Protection未配置漏洞相关推荐

  1. Hadoop Yarn REST API未授权漏洞利用挖矿分析

    目录 一.背景情况 二. 漏洞说明 攻击步骤: 三.入侵分析 四.安全建议 清理病毒 安全加固 五.IOCs 一.背景情况  5月5日腾讯云安全曾针对攻击者利用Hadoop Yarn资源管理系统RES ...

  2. CDH6.3.2防止被攻击,打补丁(未授权漏洞)

    参考:CDH6.3.2Hadoop默认配置下存在未授权漏洞,禁止匿名访问 - 民宿 - 博客园 这段时间公司的运维大佬扫描安全漏洞的时候,发现有漏洞会被攻击,原因是没有新增用户校验,允许匿名去访问.这 ...

  3. 2022-10-15(Linux应急响应、配置漏洞之DNS域传送、内网渗透之内网主机发现技巧)

    http://noahblog.360.cn/advanced-windows-taskscheduler-playbook/@[toc] [重要]拜读的文章链接都在标题上. 一.linux应急响应 ...

  4. Nginx攻击防护、CC防护、防止SQL注入、防XSS的实践配置方法

    Nginx攻击防护.CC防护.防止SQL注入.防XSS的实践配置方法 防止SQL注入.XSS攻击 Nginx安全防护屏蔽那些恶意的IP和垃圾蜘蛛 nginx网站攻击防护 Nginx简单防御CC攻击 资 ...

  5. redis未授权漏洞的事前、事中、事后、特征信息

    一.前言 Redis相关的漏洞存在很长时间了,仍然存在可以利用的情景,本次整理复现下redis相关的漏洞利用,以便以后遇到能够快速建立利用思路. 个人认为漏洞的说法并不严谨.因为其功能设计出来就是为了 ...

  6. php setcookie httponly,SetCookie 未配置 HttpOnly、Secure

    某厂商给别人网站扫描的结果说是有漏洞,其中就有:SetCookie 未配置 HttpOnly.SetCookie 未配置 Secure. 这到底是什么意思呢? SetCookie 是这个厂商认为写 C ...

  7. 解决 drupal8 提示“ settings.php ”设置未配置 问题

    解决 drupal8 提示" settings.php 中的 trusted_host_patterns "设置未配置 问题 找到当前网站目录下的sites/default中的se ...

  8. java或者jsp中修复会话标识未更新漏洞

    appscan扫描出来的. 1. 漏洞产生的原因: AppScan会扫描"登录行为"前后的Cookie,其中会对其中的JSESSIONOID(或者别的cookie id依应用而定) ...

  9. 经验分享 | 通过adbd配置漏洞在安卓设备上提升权限

    近日,Android上的一个本地提权漏洞已被确认,该漏洞可通过设备上运行的Android Debug Bridge Daemon(adbd)被利用. 如果一个安卓设备被发现正在运行于TCP端口监听的a ...

最新文章

  1. 明晚8点直播 | Transformer新型神经网络在机器翻译中的应用
  2. linux任务调度语法,linux crond任务调度-Go语言中文社区
  3. 前端学习(572):margin无效情形inline水平元素的margin无效
  4. python写的程序怎么打包成exe_python--- 如何将自己的程序打包成exe ?
  5. python虚拟环境另类的搭建
  6. Oracle之批量生成数据
  7. php正则如何使用 1,PHP正则表达式使用详解(1)
  8. Leetcode每日一题:844.backspace-string-compare(比较含退格的字符串)
  9. html 编辑器插件安装,最新版CKEditor的配置方法及插件(Plugin)编写示例
  10. js数组常用方法复习
  11. python中的 zip函数详解
  12. 在iPhone、iPad或Mac上怎样重命名蓝牙设备?
  13. 主流数据库书籍电子版下载汇总贴(84本)
  14. 如何关闭电脑的休眠功能
  15. verilog基本语法学习笔记
  16. 网络安全立法要有前瞻性眼光
  17. SpringBoot实现文件上传
  18. 【工具】PDF阅读器工具推荐
  19. labelme 简介
  20. P4343 自动刷题机

热门文章

  1. 小程序页面之间数据传递的五种方法
  2. BTrace快速入门
  3. 2021年深圳人才补贴多久到账
  4. 《计算机系统应用》投稿经验
  5. 【Linux】管理用户和用户组
  6. JavaFX Image Invalid URL or resource not found
  7. 【2019-09-25】不要在意别人的眼光
  8. 金属表面或很小的体积内抵抗弹性变形
  9. 【数据结构】有向无环图(AOV-网)的拓扑排序(C语言)
  10. 【MAPBOX基础功能】26、mapbox地图基础工具 -定位到指定的位置