Web Browser XSS Protection Not Enabled

Was ist Web Browser XSS Protection Not Enabled?

Bei Web Browser XSS Protection Not Enabled ist die Web Browser XSS Protection nicht verfügbar oder wird durch die Konfiguration des HTTP-Antwort-Headers “X-XSS-Protection” auf dem Webserver deaktiviert.

Beschreibung

Mit dem HTTP-Antwort-Header X-XSS-Protection kann der Webserver den XSS-Schutzmechanismus des Webbrowsers aktivieren oder deaktivieren. Die folgenden Werte würden versuchen, es zu aktivieren:

  • X-XSS-Protection: 1;
  • Modus = Block X-XSS-Schutz: 1;
  • report = http: //www.example.com/xss

Die folgenden Werte würden es deaktivieren:

  • X-XSS-Protection: 0

Der HTTP-Antwort-Header für X-XSS-Protection wird derzeit von Internet Explorer, Chrome und Safari (WebKit) unterstützt. Beachten Sie, dass diese Warnung nur ausgelöst wird, wenn der Antworttext möglicherweise eine XSS Payload enthalten kann (mit einem textbasierten Inhaltstyp und einer Länge ungleich Null).

Tipp

Überprüfen Sie die Sicherheit Ihrer Website mit unserem kostenlosen Security Crawler oder mit der OSG Performance Suite Free Version.

Lösung

Stellen Sie sicher, dass der XSS-Filter des Webbrowsers aktiviert ist, indem Sie den HTTP-Antwort-Header von X-XSS-Protection auf “1” setzen.

Datenbanklink zur Schwachstelle

https://cwe.mitre.org/data/definitions/933.html

https://www.owasp.org/index.php/XSS_(Cross_Site_Scripting)_Prevention_Cheat_Sheet

https://blog.veracode.com/2014/03/guidelines-for-setting-security-headers/


Sie haben noch Fragen?

Kontaktieren Sie uns

Kostenloser SEO-Check der OSG


Weitere Inhalte