XSS-Protection未配置漏洞

最新推荐文章于 2024-03-29 15:59:26 发布
最新推荐文章于 2024-03-29 15:59:26 发布
阅读量4.4k 收藏 3
点赞数 2
分类专栏: 应用安全 文章标签: XSS-Protection XSS 安全 xss
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_29277155/article/details/106868610
版权

0x00 背景

HTTP XSS-Protection响应标头是Internet Explorer,Chrome和Safari的功能,当页面检测到反射的跨站点脚本(XSS)攻击时,该页面将阻止加载页面。 尽管当站点实施强大的Content-Security-Policy禁止使用内JavaScript(“不安全内联”)时。

在现代浏览器中这些保护在很大程度上是不必要的,但它们仍可以为尚未使用旧版Web浏览器的用户提供保护 支持CSP。

0x01 修复思路

配置XSS-Protection响应标头值

X-XSS-Protection: 0 #禁用XSS过滤。

X-XSS-Protection: 1 #启用XSS过滤(通常是浏览器中的默认设置)。 如果检测到跨站点脚本攻击,则浏览器将对页面进行清理(删除不安全的部分)。

X-XSS-Protection: 1; mode=block #模式=阻止

启用XSS过滤。 如果检测到攻击,浏览器将不呈现页面,而不会清除页面。

X-XSS-Protection: 1; report=<reporting-uri>

1; report = <reporting-URI>(仅支持Chrome浏览器),启用XSS过滤。 如果检测到跨站点脚本攻击,浏览器将清理该页面并报告违规行为。 这使用CSP report-uri指令的功能来发送报告。

0x02 代码修复

推荐配置:X-XSS-Protection: 1; mode=block

Nginx

add_header "X-XSS-Protection" "1; mode=block";

Apache (.htaccess)

<IfModule mod_headers.c>

  Header set X-XSS-Protection "1; mode=block"

</IfModule>

PHP

header("X-XSS-Protection: 1; mode=block");

煜铭2011
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
HTTP响应头使用X-XSS-Protection(漏洞)
夫君子之行,静以修身,俭以养德,非淡泊无以明志,非宁静无以致远.
06-05 1856
HTTP X-XSS-Protection 响应头是Internet Explorer,Chrome和的一个功能,当检测到跨站脚本攻击 (XSS)时,浏览器将停止加载页面。虽然这些保护在现代浏览器中基本上是不必要的,当网站实施一个强大的Content-Security-Policy来禁用内联的JavaScript ('unsafe-inline')时, 他们仍然可以为尚不支持 CSP 的旧版浏览器的用户提供保护。
xss-labs-master.zip(xss注入通关游戏/靶场)
03-21
经典的xss注入通关游戏,搭建简单。适合网络安全测试人员
探秘X-XSS-Protection头对抗跨站脚本攻击
todoitbo的博客
03-05 1006
本文将深入研究X-XSS-Protection头,这是一项用于提示用户代理防范跨站脚本攻击(XSS)的重要安全措施。透过生动的例子和详细的解释,本文旨在帮助读者了解如何配置和使用X-XSS-Protection头,加强网站的安全性。
常见代码漏洞介绍
最新发布
晨港飞燕的专栏
03-29 819
ESAPI 提供了一系列的安全功能,包括输入验证、输出编码、会话管理、加密和访问控制等,帮助开发人员防御常见的 Web 安全威胁,如 XSS(跨站脚本攻击)、CSRF(跨站请求伪造)、SQL 注入等。这种行为可能是恶意的,旨在隐藏攻击者的活动,模糊攻击的痕迹,或者误导系统管理员、安全团队等人员的调查方向。这可能包括添加不存在的事件,或者伪造与真实事件相关的日志信息。总的来说,ESAPI 是一个强大的工具,旨在帮助开发人员构建更安全的 Web 应用程序,减少安全漏洞的风险,并保护用户数据的安全
jvm总结(jvm结构,jvm垃圾回收算法及收集器,jvm优化,eclipse运行调优)
你怎么还在用 ThinkPad 啊?
07-22 804
一、jvm 结构 jvm总体结构 1、类加载子系统方法区:类加载子系统负责从文件系统或者网络中加载Class信息,加载的类信息存放于一块称为方法区的内存空间。除了类的信息外,方法区中可能还会放运行时常量池信息,包括字符串字面量和数字量(这部分常量信息是class文件中常量池部分的内存映射)附带朋友写的jvm类加载过程(https://blog.csdn.net/lucklilili/ar...
Spring Cloud Gateway 中文文档
mxw_133的博客
02-20 1245
Spring Cloud Gateway 中文文档 官方文档 该项目提供了一个建立在Spring Ecosystem之上的API网关,包括:Spring 5,Spring Boot 2和Project Reactor。 Spring Cloud Gateway旨在提供一种简单而有效的方式来对API进行路由,并为他们提供切面,例如:安全性,监控/指标 和弹性等。 1. 如何在工程中引用Spring Cloud Gateway(How to Include Spring Cloud Gateway) 要在项
HTTP请求Header分析
coach
01-27 3063
客户端HTTP请求的Header信息 1、HTTP请求方式 GET 向Web服务器请求一个文件 POST 向Web服务器发送数据让Web服务器进行处理 PUT 向Web服务器发送数据并存储在Web服务器内部 HEAD 检查一个对象是否存在 DELETE 从Web服务器上删除一个文件 CONNECT 对通道提供支持 TRACE 跟踪到服务器的路径 O...
XSS注入方法
洋洋的小黑屋
12-30 1606
X-XSS-Protection头 HTTP X-XSS-Protection响应标头是 Internet Explorer, Chrome 和 Safari 的一项功能,可在检测到反射的跨站点脚本(XSS)攻击时阻止页面加载。 X-XSS-Protection: 0 X-XSS-Protection: 1 X-XSS-Protection: 1; mode=block 0:关闭浏览器的XSS防...
X-XSS-Protection
椰汁菠萝
03-18 1万+
HTTPX-XSS-Protection响应头是Internet Explorer,Chrome和Safari的一个功能,当检测到跨站脚本攻击 (XSS)时,浏览器将停止加载页面。虽然这些保护在现代浏览器中基本上是不必要的,当网站实施一个强大的Content-Security-Policy来禁用内联的JavaScript ('unsafe-inline')时,他们仍然可以为尚不支持CSP...
常见web扫描漏洞修复即网站服务器加固项
末日黄昏的博客
11-18 1517
名称:X-Frame-Options Header配置 漏洞描述:X-Frame-Options HTTP响应头可以指示浏览器是否允许当前网页在“frame”或“iframe”标签中显示,以此使网站内容不被其他站点引用和免于点击劫持攻击. 修复方法:设置X-Frame-Options头,三个可选值:1、DENY:无论如何不在框架中显示;2、SAMEORIGIN:仅在同源域名下的框架中显示;3、...
Web安全:X-XSS-Protection头(防XSS攻击设置)
TivonaLH的博客
01-11 3万+
1.参考资料链接:https://www.freebuf.com/articles/web/138769.html 2.X-XSS-Protection头的三个值 0: 表示关闭浏览器的XSS防护机制 1:删除检测到的恶意代码, 如果响应报文中没有看到X-XSS-Protection 字段,那么浏览器就认为X-XSS-Protection配置为1,这是浏览器的默认设置 1; mode=bl...
Laravel开发-xss-protection
08-28
Laravel开发-xss-protection 过滤输入中的XSS
xss-labs-master.rar
05-09
xss-labs-master靶机资源,有关于xss漏洞攻击专项练习,一共有二十关,也是小白的看门砖吧!
xss-filter-spring-boot-starter:springboot自动xss
05-17
xss-filter-spring-boot-starter springboot自动xss 使用方法在项目的pom.xml中加入依赖即口 <groupId>com.djk</groupId> <artifactId>xss-filter-spring-boot-starter <version>0.0.1 目前支持3种入参数xss...
xss-lab全通关教程
05-07
xss-lab全通关教程,共有20个关,全部就压缩到文件里,另外购买还有可以私信博主,赠送xss环境
腾讯2016实习招聘-安全岗笔试题答案详细解释
热门推荐
煜铭2011
06-11 8万+
0x00前言 鉴于曾经做过腾讯找招聘-安全技术笔试题目,故留此一记,以作怀念。此外,网上也有公布的相关的答案,但是其中有些题目稍有错误或者解释不全,所以趁机写上一记。 0x01 开始 2016年4月2日晚上7:00到9:00,腾讯2016实习招聘-安全技术的笔试题确实考到很多基础知识。该笔试题有两部分。第一部分是30道不定项选择题、10道简答题和5道判断题,题量是45,限时80分钟。第二部分
XSS插入绕过一些方式总结
煜铭2011
05-05 7万+
0x00前言 我们友情进行XSS检查,偶然跳出个小弹窗,其中我们总结了一些平时可能用到的XSS插入方式,方便我们以后进行快速检查,也提供了一定的思路,其中XSS有反射、存储、DOM这三类,至于具体每个类别的异同之处,本文不做学术介绍,直接介绍实际的插入方式。 0x01 常规插入及其绕过 1 Script 标签 绕过进行一次移除操作: <scr<script&g...
使用nmap绕过防火墙进行扫描
煜铭2011
04-17 5万+
0x00 前言     现在很多的网络应用都被防火墙保护着,那我们平时在进行扫描的时候,往往一无所获,因此我们在面对防火墙/IDS/IPS的防护应用时,该如何使用nmap 绕过这些防火墙的限制进行端口服务扫描? 0x01 使用nmap 脚本进行防火墙检测 root@kali:~# nmap --script=firewalk --traceroute m.anzhi.com root@
使用sqlmap 绕过防火墙进行注入测试
煜铭2011
04-20 4万+
0x00 前言 现在的网络环境往往是WAF/IPS/IDS保护着Web 服务器等等,这种保护措施往往会过滤挡住我们的SQL注入查询链接,甚至封锁我们的主机IP,所以这个时候,我们就要考虑怎样进行绕过,达到注入的目标。因为现在WAF/IPS/IDS都把sqlmap 列入黑名单了,呵呵!但是本文基于sqlmap 进行绕过注入测试,介绍至今仍然实用有效的技巧,以下策略在特定的环境能够成功绕...
X-XSS-Protection缺失 修复
06-13
X-XSS-Protection是一个HTTP响应头,用于防止跨站脚本攻击(XSS)。如果该头缺失,可能会导致攻击者通过注入恶意脚本来攻击网站用户。为了修复这个问题,您可以在Web服务器或应用程序中配置该头。以下是一些具体的步骤: 1. 在Web服务器上配置X-XSS-Protection头。例如,在Apache服务器中,您可以在配置文件中添加以下行: Header set X-XSS-Protection "1; mode=block" 2. 在应用程序中使用编程语言来添加X-XSS-Protection头。例如,在PHP中,您可以使用以下代码: header("X-XSS-Protection: 1; mode=block"); 3. 使用Web应用程序防火墙(WAF)来过滤和阻止恶意脚本。 无论哪种方法,都应该测试您的网站以确保X-XSS-Protection头已正确配置

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值