javascript - 如果我有 XSS 保护解决方案,它会导致 chrome 审计员被禁用吗?
问题描述
chrome 说(关于 XSS 攻击):“审核员已启用,因为服务器没有发送 'X-XSS-Protection' 标头。”;这是否意味着如果有任何 xss 保护标头,审核员将被禁用?想象一下,如果那个安全解决方案有一个很大的 XSS 缺陷,审计员知道它,但由于网站有一个 XSS 保护标头,它不会做任何事情......无论如何,我不信任审计员的 XSS 保护,但我很好奇。
解决方案
这更像是默认情况下启用审核员而不使用标题,但使用标题您可以控制它是启用还是禁用。
withX-XSS-Protection:0
审核员将被禁用,并且 withX-XSS-Protection:1
或X-XSS-Protection:1; mode=block
审核员将被启用。
无论如何,审计员可能很快就会被撤职,因为它不是很可靠。参见:https ://www.chromium.org/developers/design-documents/xss-auditor
推荐阅读
- angular11 - 每个 http 请求上的 ngx-loading-bar
- javascript - 为什么对 JS 的请求执行的时间比 api 响应的时间长 2 倍?
- windows - Powershell 使用列表中的参数调用 .bat 文件
- java - 构建一个方法来将具有多个变量的文本文件读取到数组中,而无需在 Java 中使用 ArrayList
- python - 如何使用python移动字母表中的字母?
- azure - Azure AD 与自己的 PHP 平台集成
- list - Flutter ReorderableListView 在浏览器中不起作用
- java - C# 中的 Java 椭圆曲线
- python - python递归函数使用self.function
- spacy - Spacy 的(3.1 版)POS 标记器是否依赖于解析器?