X-XSS-Protection era un'intestazione di sicurezza che esiste dalla versione 4 di Google Chrome. È stato progettato per abilitare uno strumento che controllasse il contenuto del sito Web per lo scripting cross-site riflesso. Tutti i principali browser hanno ora ritirato il supporto per l'intestazione poiché ha finito per introdurre difetti di sicurezza. Si consiglia vivamente di non impostare affatto l'intestazione e di configurare invece una solida politica di sicurezza dei contenuti.
Suggerimento: Cross-Site Scripting è generalmente abbreviato con l'acronimo "XSS".
Lo scripting cross-site riflesso è una classe di vulnerabilità XSS in cui l'exploit è codificato direttamente nell'URL e interessa solo l'utente che visita l'URL. XSS riflesso è un rischio quando la pagina Web visualizza i dati dall'URL. Ad esempio, se un negozio online ti consente di cercare prodotti, potrebbe avere un URL simile a questo "website.com/search?term=gift" e includere la parola "regalo" nella pagina. Il problema inizia se qualcuno mette JavaScript nell'URL, se non è adeguatamente disinfettato, questo JavaScript potrebbe essere eseguito piuttosto che stampato sullo schermo come dovrebbe essere. Se un utente malintenzionato può indurre un utente a fare clic su un collegamento con questo tipo di payload XSS, potrebbe essere in grado di eseguire operazioni come prendere il controllo della sessione.
X-XSS-Protection aveva lo scopo di rilevare e prevenire questo tipo di attacco. Sfortunatamente, nel tempo sono stati rilevati numerosi bypass e persino vulnerabilità nel modo in cui il sistema funzionava. Queste vulnerabilità significavano che l'implementazione dell'intestazione X-XSS-Protection avrebbe introdotto una vulnerabilità di scripting tra siti in un sito Web altrimenti sicuro.
Per proteggersi da ciò, con la consapevolezza che l'intestazione della politica di sicurezza dei contenuti, generalmente abbreviata in "CSP", include funzionalità per sostituirla, gli sviluppatori del browser hanno deciso di ritirare la funzionalità. La maggior parte dei browser, inclusi Chrome, Opera ed Edge, ha rimosso il supporto o, nel caso di Firefox, non l'ha mai implementato. Si consiglia ai siti Web di disabilitare l'intestazione, per proteggere gli utenti che ancora utilizzano browser legacy con la funzione abilitata.
X-XSS-Protection può essere sostituito con l'impostazione "unsafe-inline" nell'intestazione CSP. Essere in grado di abilitare questa impostazione potrebbe richiedere molto lavoro a seconda del sito Web, poiché significa che tutto JavaScript deve essere in script esterni e non può essere incluso direttamente nell'HTML.
Se le app e i programmi non pinnati continuano a riapparire nella barra delle applicazioni, puoi modificare il file Layout XML e rimuovere le righe personalizzate.
In questo tutorial ti mostriamo come eseguire un soft o hard reset sull
Ci sono così tante fantastiche app su Google Play che non puoi fare a meno di iscriverti. Dopo un po
Cercare nella propria tasca o portafoglio il giusto documento di pagamento può essere un vero disagio. Negli ultimi anni, diverse aziende hanno sviluppato e lanciato soluzioni di pagamento contactless.
Eliminare la cronologia dei download di Android aiuta a liberare spazio di archiviazione, tra le altre cose. Ecco i passaggi da seguire.
Questa guida ti mostra come eliminare foto e video da Facebook utilizzando un PC, un dispositivo Android o iOS.
Abbiamo trascorso del tempo con il Galaxy Tab S9 Ultra, e si tratta del tablet perfetto da abbinare al tuo PC Windows o al Galaxy S23.
Disattiva i messaggi di testo di gruppo su Android 11 per mantenere sotto controllo le notifiche per l
Cancella la cronologia degli URL nella barra degli indirizzi di Firefox e mantieni le tue sessioni private seguendo questi rapidi e facili passi.
Per segnalare un truffatore su Facebook, clicca su Altre opzioni e seleziona Trova supporto o segnala profilo. Compila poi il modulo di segnalazione.
