XSS-Schwachstelle/DE

Aus Siwecos
Version vom 29. März 2018, 17:38 Uhr von Siwebot (Diskussion | Beiträge) (Die Seite wurde neu angelegt: „=== <span style="color:#c31622">{{:{{PAGENAME}}/Headline}}<span>=== {| class="wikitable" |'''Check'''|| {{:{{PAGENAME}}/Negative}} |- |'''Beschreibung'''…“)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)
Wechseln zu: Navigation, Suche

Überprüfung des X-XSS-Protection Headers

Check Der Cross-Site Scripting-Schutz (XSS) ist nicht aktiviert oder unzureichend konfiguriert.
Beschreibung Der HTTP-Header X-XSS-Protection definiert wie in Browsern eingebaute XSS-Filter konfiguriert werden. Eine Default-Installation kann eine unzureichende Konfiguration offenbaren.
Hintergrund Dieser Header aktiviert den in den meisten aktuellen Browsern (Internet Explorer, Chrome und Safari) eingebauten Cross-Site Scripting-Schutz (XSS). Zwar ist der Schutz standardmäßig aktiviert - daher ist dieser Header nur dazu da, den Filter ggfs. wieder zu aktivieren, falls der Benutzer ihn abgeschaltet hat. Zudem wird dieser Header nur ab dem IE 8+, Opera, Chrome und Safari unterstützt.
Auswirkung Verhindert reflektierte XSS-Angriffe. Einfach zu implementieren und erfordert keine weiteren Anpassungen auf der Website.
Lösung / Tipps Wenn gemeldet wurde, dass Ihre Webseite wahrscheinlich nicht ausreichend gegen XSS-Angriffe geschützt ist:
1; mode=block

Beispielcode einer .htaccess auf einem Apache Webserver

 # Turn on XSS prevention tools, activated by default in IE and Chrome
 Header set X-XSS-Protection "1; mode=block"

Hier finden Sie ein Beispiel, wie eine .htaccess-Datei aussehen kann, um einen höheren Wert beim Header Scanner zu erzielen. (.htaccess-Beispiel)

[[Category: ]]