X-XSS-Protectionは何をしますか？

X-XSS-Protectionは、GoogleChromeのバージョン4以降に存在するセキュリティヘッダーでした。これは、反映されたクロスサイトスクリプティングについてWebサイトのコンテンツをチェックするツールを有効にするように設計されました。主要なブラウザはすべて、セキュリティ上の欠陥が発生したため、ヘッダーのサポートを終了しました。ヘッダーをまったく設定せず、代わりに強力なコンテンツセキュリティポリシーを構成することを強くお勧めします。

ヒント：クロスサイトスクリプティングは通常、頭字語「XSS」に短縮されます。

反映されたクロスサイトスクリプティングは、エクスプロイトがURLに直接エンコードされ、URLにアクセスするユーザーにのみ影響を与えるXSS脆弱性のクラスです。反映されたXSSは、WebページにURLのデータが表示される場合のリスクです。たとえば、ウェブストアで商品の検索が許可されている場合、「website.com/search?term=gift」のようなURLがあり、ページに「gift」という単語が含まれている可能性があります。問題は、誰かがJavaScriptをURLに挿入した場合に始まります。適切にサニタイズされていない場合、このJavaScriptは、本来あるべき画面に出力されるのではなく、実行される可能性があります。攻撃者がユーザーをだましてこの種のXSSペイロードを持つリンクをクリックさせることができれば、セッションを乗っ取るなどのことができる可能性があります。

X-XSS-Protectionは、このタイプの攻撃を検出して防止することを目的としていました。残念ながら、時間の経過とともに、システムの動作方法に多くのバイパスや脆弱性が見つかりました。これらの脆弱性は、X-XSS-Protectionヘッダーを実装すると、他の点では安全なWebサイトにクロスサイトスクリプティングの脆弱性が導入されることを意味しました。

これを防ぐために、コンテンツセキュリティポリシーヘッダー（通常は「CSP」と短縮されます）にはそれを置き換える機能が含まれていることを理解した上で、ブラウザ開発者はこの機能を廃止することにしました。Chrome、Opera、Edgeを含むほとんどのブラウザは、サポートを削除したか、Firefoxの場合は実装していません。この機能を有効にしてレガシーブラウザを使用しているユーザーを保護するために、Webサイトでヘッダーを無効にすることをお勧めします。

X-XSS-Protectionは、CSPヘッダーの「unsafe-inline」設定に置き換えることができます。この設定を有効にするには、すべてのJavaScriptを外部スクリプトに含める必要があり、HTMLに直接含めることができないため、Webサイトによっては多くの作業が必要になる場合があります。