Web Browser XSS Protection Not Enabled
Was ist Web Browser XSS Protection Not Enabled?
Bei Web Browser XSS Protection Not Enabled ist die Web Browser XSS Protection nicht verfügbar oder wird durch die Konfiguration des HTTP-Antwort-Headers “X-XSS-Protection” auf dem Webserver deaktiviert.
Beschreibung
Mit dem HTTP-Antwort-Header X-XSS-Protection kann der Webserver den XSS-Schutzmechanismus des Webbrowsers aktivieren oder deaktivieren. Die folgenden Werte würden versuchen, es zu aktivieren:
- X-XSS-Protection: 1;
- Modus = Block X-XSS-Schutz: 1;
- report = http: //www.example.com/xss
Die folgenden Werte würden es deaktivieren:
- X-XSS-Protection: 0
Der HTTP-Antwort-Header für X-XSS-Protection wird derzeit von Internet Explorer, Chrome und Safari (WebKit) unterstützt. Beachten Sie, dass diese Warnung nur ausgelöst wird, wenn der Antworttext möglicherweise eine XSS Payload enthalten kann (mit einem textbasierten Inhaltstyp und einer Länge ungleich Null).
Tipp
Überprüfen Sie die Sicherheit Ihrer Website mit unserem kostenlosen Security Crawler oder mit der OSG Performance Suite Free Version.
Lösung
Stellen Sie sicher, dass der XSS-Filter des Webbrowsers aktiviert ist, indem Sie den HTTP-Antwort-Header von X-XSS-Protection auf “1” setzen.
Datenbanklink zur Schwachstelle
https://cwe.mitre.org/data/definitions/933.html
https://www.owasp.org/index.php/XSS_(Cross_Site_Scripting)_Prevention_Cheat_Sheet
https://www.veracode.com/blog/2014/03/guidelines-for-setting-security-headers
Sie haben noch Fragen?