Home » » X-XSS-Protectionは何をしますか?

X-XSS-Protectionは何をしますか?

X-XSS-Protectionは、GoogleChromeのバージョン4以降に存在するセキュリティヘッダーでした。これは、反映されたクロスサイトスクリプティングについてWebサイトのコンテンツをチェックするツールを有効にするように設計されました。主要なブラウザはすべて、セキュリティ上の欠陥が発生したため、ヘッダーのサポートを終了しました。ヘッダーをまったく設定せず、代わりに強力なコンテンツセキュリティポリシーを構成することを強くお勧めします。

ヒント:クロスサイトスクリプティングは通常、頭字語「XSS」に短縮されます。

反映されたクロスサイトスクリプティングは、エクスプロイトがURLに直接エンコードされ、URLにアクセスするユーザーにのみ影響を与えるXSS脆弱性のクラスです。反映されたXSSは、WebページにURLのデータが表示される場合のリスクです。たとえば、ウェブストアで商品の検索が許可されている場合、「website.com/search?term=gift」のようなURLがあり、ページに「gift」という単語が含まれている可能性があります。問題は、誰かがJavaScriptをURLに挿入した場合に始まります。適切にサニタイズされていない場合、このJavaScriptは、本来あるべき画面に出力されるのではなく、実行される可能性があります。攻撃者がユーザーをだましてこの種のXSSペイロードを持つリンクをクリックさせることができれば、セッションを乗っ取るなどのことができる可能性があります。

X-XSS-Protectionは、このタイプの攻撃を検出して防止することを目的としていました。残念ながら、時間の経過とともに、システムの動作方法に多くのバイパスや脆弱性が見つかりました。これらの脆弱性は、X-XSS-Protectionヘッダーを実装すると、他の点では安全なWebサイトにクロスサイトスクリプティングの脆弱性が導入されることを意味しました。

これを防ぐために、コンテンツセキュリティポリシーヘッダー(通常は「CSP」と短縮されます)にはそれを置き換える機能が含まれていることを理解した上で、ブラウザ開発者はこの機能を廃止することにしました。Chrome、Opera、Edgeを含むほとんどのブラウザは、サポートを削除したか、Firefoxの場合は実装していません。この機能を有効にしてレガシーブラウザを使用しているユーザーを保護するために、Webサイトでヘッダーを無効にすることをお勧めします。

X-XSS-Protectionは、CSPヘッダーの「unsafe-inline」設定に置き換えることができます。この設定を有効にするには、すべてのJavaScriptを外部スクリプトに含める必要があり、HTMLに直接含めることができないため、Webサイトによっては多くの作業が必要になる場合があります。


Leave a Comment

Google Chrome に常に完全な URL を表示させる方法

Google Chrome に常に完全な URL を表示させる方法

Chrome では、デフォルトでは完全な URL が表示されません。この詳細はあまり気にしないかもしれませんが、何らかの理由で完全な URL を表示する必要がある場合は、Google Chrome でアドレス バーに完全な URL を表示する方法の詳細な手順をご覧ください。

古いRedditを取り戻す方法

古いRedditを取り戻す方法

Reddit は 2024 年 1 月に再びデザインを変更しました。再デザインはデスクトップ ブラウザ ユーザーに表示され、リンクを提供しながらメイン フィードを絞り込みます。

Googleレンズを使って教科書のコンテンツをコピーする方法

Googleレンズを使って教科書のコンテンツをコピーする方法

本からお気に入りの引用を Facebook に入力するのは時間がかかり、間違いも多いです。Google レンズを使用して書籍からデバイスにテキストをコピーする方法を学びます。

ChromeでサーバーDNSアドレスが見つからない問題を修正

ChromeでサーバーDNSアドレスが見つからない問題を修正

Chrome で作業しているときに、特定の Web サイトにアクセスできず、「Fix Server DNS アドレスが Chrome で見つかりませんでした」というエラーが表示されることがあります。この問題を解決する方法は次のとおりです。

Google Homeでリマインダーを作成する方法に関するクイックガイド

Google Homeでリマインダーを作成する方法に関するクイックガイド

リマインダーは常に Google Home の大きなハイライトでした。彼らは確かに私たちの生活を楽にしてくれます。重要な用事を見逃さないように、Google Home でリマインダーを作成する方法を簡単に説明します。

Netflix: パスワードを変更する

Netflix: パスワードを変更する

好みのブラウザまたは Android アプリを使用して、Netflix ストリーミング ビデオ サービスのパスワードを変更する方法。

Chromebook で検索履歴と閲覧履歴を削除する方法

Chromebook で検索履歴と閲覧履歴を削除する方法

ブラウザの履歴を削除すると、特に共有または公開の Chromebook を使用している場合、閲覧アクティビティの機密性を保つことができます。このチュートリアルでは、個人、職場、学校の Chromebook でブラウザ履歴を削除する手順について説明します。

Googleスプレッドシートで行と列を入れ替える方法

Googleスプレッドシートで行と列を入れ替える方法

スプレッドシートを設定した後で、別のレイアウトの方がうまく機能することに気づいたことがありますか。Google スプレッドシートでは、行を列に、またはその逆に簡単に変換して、データを自由に表示できます。

最も人気のあるビデオ ゲーム ジャンル 7

最も人気のあるビデオ ゲーム ジャンル 7

誕生以来、ゲーマーが楽しめるようにさまざまなスタイルのビデオ ゲームが作成されてきました。アクション指向のもの、頭を使ってパズルを解いたり戦略を立てたいもの、またはカジュアルなゲームプレイでリラックスしたものなど、誰もが楽しくプレイできるものがそこにはあります。

Facebookメッセンジャーの通知が消えない?それを修正する8つの方法

Facebookメッセンジャーの通知が消えない?それを修正する8つの方法

Facebook Messenger の通知は、未読のメッセージをすべて読み終え​​ると消えるはずです。ただし、通知が引き続き表示され、何をしても消えない場合は、問題を解決するために適用できる解決策がいくつかあります。