XSS-Protection未配置漏洞
0x00 背景
HTTP XSS-Protection响应标头是Internet Explorer,Chrome和Safari的功能,当页面检测到反射的跨站点脚本(XSS)攻击时,该页面将阻止加载页面。 尽管当站点实施强大的Content-Security-Policy禁止使用内JavaScript(“不安全内联”)时。
在现代浏览器中这些保护在很大程度上是不必要的,但它们仍可以为尚未使用旧版Web浏览器的用户提供保护 支持CSP。
0x01 修复思路
配置XSS-Protection响应标头值
X-XSS-Protection: 0 #禁用XSS过滤。
X-XSS-Protection: 1 #启用XSS过滤(通常是浏览器中的默认设置)。 如果检测到跨站点脚本攻击,则浏览器将对页面进行清理(删除不安全的部分)。
X-XSS-Protection: 1; mode=block #模式=阻止
启用XSS过滤。 如果检测到攻击,浏览器将不呈现页面,而不会清除页面。
X-XSS-Protection: 1; report=<reporting-uri>
1; report = <reporting-URI>(仅支持Chrome浏览器),启用XSS过滤。 如果检测到跨站点脚本攻击,浏览器将清理该页面并报告违规行为。 这使用CSP report-uri指令的功能来发送报告。
0x02 代码修复
推荐配置:X-XSS-Protection: 1; mode=block
Nginx
add_header "X-XSS-Protection" "1; mode=block";
Apache (.htaccess)
<IfModule mod_headers.c>
Header set X-XSS-Protection "1; mode=block"
</IfModule>
PHP
header("X-XSS-Protection: 1; mode=block");
XSS-Protection未配置漏洞相关推荐
- Hadoop Yarn REST API未授权漏洞利用挖矿分析
目录 一.背景情况 二. 漏洞说明 攻击步骤: 三.入侵分析 四.安全建议 清理病毒 安全加固 五.IOCs 一.背景情况 5月5日腾讯云安全曾针对攻击者利用Hadoop Yarn资源管理系统RES ...
- CDH6.3.2防止被攻击,打补丁(未授权漏洞)
参考:CDH6.3.2Hadoop默认配置下存在未授权漏洞,禁止匿名访问 - 民宿 - 博客园 这段时间公司的运维大佬扫描安全漏洞的时候,发现有漏洞会被攻击,原因是没有新增用户校验,允许匿名去访问.这 ...
- 2022-10-15(Linux应急响应、配置漏洞之DNS域传送、内网渗透之内网主机发现技巧)
http://noahblog.360.cn/advanced-windows-taskscheduler-playbook/@[toc] [重要]拜读的文章链接都在标题上. 一.linux应急响应 ...
- Nginx攻击防护、CC防护、防止SQL注入、防XSS的实践配置方法
Nginx攻击防护.CC防护.防止SQL注入.防XSS的实践配置方法 防止SQL注入.XSS攻击 Nginx安全防护屏蔽那些恶意的IP和垃圾蜘蛛 nginx网站攻击防护 Nginx简单防御CC攻击 资 ...
- redis未授权漏洞的事前、事中、事后、特征信息
一.前言 Redis相关的漏洞存在很长时间了,仍然存在可以利用的情景,本次整理复现下redis相关的漏洞利用,以便以后遇到能够快速建立利用思路. 个人认为漏洞的说法并不严谨.因为其功能设计出来就是为了 ...
- php setcookie httponly,SetCookie 未配置 HttpOnly、Secure
某厂商给别人网站扫描的结果说是有漏洞,其中就有:SetCookie 未配置 HttpOnly.SetCookie 未配置 Secure. 这到底是什么意思呢? SetCookie 是这个厂商认为写 C ...
- 解决 drupal8 提示“ settings.php ”设置未配置 问题
解决 drupal8 提示" settings.php 中的 trusted_host_patterns "设置未配置 问题 找到当前网站目录下的sites/default中的se ...
- java或者jsp中修复会话标识未更新漏洞
appscan扫描出来的. 1. 漏洞产生的原因: AppScan会扫描"登录行为"前后的Cookie,其中会对其中的JSESSIONOID(或者别的cookie id依应用而定) ...
- 经验分享 | 通过adbd配置漏洞在安卓设备上提升权限
近日,Android上的一个本地提权漏洞已被确认,该漏洞可通过设备上运行的Android Debug Bridge Daemon(adbd)被利用. 如果一个安卓设备被发现正在运行于TCP端口监听的a ...
最新文章
- 明晚8点直播 | Transformer新型神经网络在机器翻译中的应用
- linux任务调度语法,linux crond任务调度-Go语言中文社区
- 前端学习(572):margin无效情形inline水平元素的margin无效
- python写的程序怎么打包成exe_python--- 如何将自己的程序打包成exe ?
- python虚拟环境另类的搭建
- Oracle之批量生成数据
- php正则如何使用 1,PHP正则表达式使用详解(1)
- Leetcode每日一题:844.backspace-string-compare(比较含退格的字符串)
- html 编辑器插件安装,最新版CKEditor的配置方法及插件(Plugin)编写示例
- js数组常用方法复习
- python中的 zip函数详解
- 在iPhone、iPad或Mac上怎样重命名蓝牙设备?
- 主流数据库书籍电子版下载汇总贴(84本)
- 如何关闭电脑的休眠功能
- verilog基本语法学习笔记
- 网络安全立法要有前瞻性眼光
- SpringBoot实现文件上传
- 【工具】PDF阅读器工具推荐
- labelme 简介
- P4343 自动刷题机