X-XSS-Protection fue un encabezado de seguridad que existe desde la versión 4 de Google Chrome. Fue diseñado para habilitar una herramienta que verificara el contenido del sitio web en busca de secuencias de comandos entre sitios reflejadas. Todos los principales navegadores ahora han retirado el soporte para el encabezado, ya que terminó introduciendo fallas de seguridad. Se recomienda encarecidamente que no establezca el encabezado en absoluto y, en su lugar, configure una política de seguridad de contenido sólida.
Sugerencia: Cross-Site Scripting generalmente se abrevia al acrónimo "XSS".
Las secuencias de comandos de sitios cruzados reflejadas son una clase de vulnerabilidad XSS en la que el exploit se codifica directamente en la URL y solo afecta al usuario que visita la URL. El XSS reflejado es un riesgo cuando la página web muestra datos de la URL. Por ejemplo, si una tienda web le permite buscar productos, es muy posible que tenga una URL similar a esta "website.com/search?term=gift" e incluya la palabra "regalo" en la página. El problema comienza si alguien coloca JavaScript en la URL, si no se desinfecta correctamente, este JavaScript podría ejecutarse en lugar de imprimirse en la pantalla como debería ser. Si un atacante pudiera engañar a un usuario para que haga clic en un enlace con este tipo de carga útil XSS, es posible que pueda hacer cosas como hacerse cargo de su sesión.
X-XSS-Protection estaba destinado a detectar y prevenir este tipo de ataque. Desafortunadamente, con el tiempo, se encontraron una serie de omisiones e incluso vulnerabilidades en la forma en que funcionaba el sistema. Estas vulnerabilidades significaron que la implementación del encabezado X-XSS-Protection introduciría una vulnerabilidad de secuencias de comandos entre sitios en un sitio web que de otro modo sería seguro.
Para protegerse contra esto, con el entendimiento de que el encabezado de la Política de seguridad de contenido, generalmente abreviado como "CSP", incluye la funcionalidad para reemplazarlo, los desarrolladores de navegadores decidieron retirar la función. La mayoría de los navegadores, incluidos Chrome, Opera y Edge, han eliminado el soporte o, en el caso de Firefox, nunca lo implementaron. Se recomienda que los sitios web deshabiliten el encabezado para proteger a los usuarios que aún usan navegadores heredados con la función habilitada.
X-XSS-Protection se puede reemplazar con la configuración "insegura en línea" en el encabezado CSP. Ser capaz de habilitar esta configuración puede requerir mucho trabajo dependiendo del sitio web, ya que significa que todo JavaScript debe estar en scripts externos y no se puede incluir en el HTML directamente.
Si las aplicaciones y programas no anclados siguen reapareciendo en la barra de tareas, puedes editar el archivo Layout XML y eliminar las líneas personalizadas.
En este tutorial te mostramos cómo realizar un reinicio suave o duro en el Apple iPod Shuffle.
Hay tantas aplicaciones excelentes en Google Play que no puedes evitar suscribirte. Con el tiempo, esa lista crece y necesitas gestionar tus suscripciones de Google Play.
Buscar en tu bolsillo o cartera la tarjeta adecuada para pagar puede ser un verdadero inconveniente. En los últimos años, varias empresas han estado desarrollando y lanzando soluciones de pago sin contacto.
Esta guía te mostrará cómo eliminar fotos y videos de Facebook usando una PC, Android o dispositivo iOS.
Hemos pasado un tiempo con la Galaxy Tab S9 Ultra, y es la tableta perfecta para emparejar con tu PC con Windows o el Galaxy S23.
Silencia los mensajes de texto en grupos en Android 11 para mantener las notificaciones bajo control para la aplicación de Mensajes, WhatsApp y Telegram.
Borra el historial de URLs de la barra de direcciones en Firefox y mantén tus sesiones privadas siguiendo estos pasos rápidos y sencillos.
Para reportar a un estafador en Facebook, haz clic en Más opciones y selecciona Encontrar soporte o reportar perfil. Luego completa el formulario de reporte.
Es posible que estés de acuerdo en ver algunos anuncios de vez en cuando, ya que nunca sabes cuándo podrías encontrar algo que quieres comprar. Sin embargo, a veces, los anunciantes no conocen el significado de la palabra suficiente, y los anuncios se vuelven intrusivos. Este artículo te mostrará cómo habilitar el bloqueador de anuncios en el navegador Microsoft Edge para Android.
