X-XSS-Protection은 무엇을 합니까?

X-XSS-Protection은 Google Chrome 버전 4부터 있었던 보안 헤더입니다. 반영된 교차 사이트 스크립팅에 대해 웹 사이트의 내용을 확인하는 도구를 활성화하도록 설계되었습니다. 모든 주요 브라우저는 이제 보안 결함이 도입되면서 헤더에 대한 지원을 중단했습니다. 헤더를 전혀 설정하지 않고 대신 강력한 콘텐츠 보안 정책을 구성하는 것이 좋습니다.

팁: Cross-Site Scripting은 일반적으로 "XSS"라는 약어로 축약됩니다.

반영된 교차 사이트 스크립팅은 익스플로잇이 URL에 직접 인코딩되고 URL을 방문하는 사용자에게만 영향을 미치는 XSS 취약점 클래스입니다. 반사된 XSS는 웹 페이지가 URL의 데이터를 표시할 때 위험합니다. 예를 들어, 웹 스토어에서 제품을 검색할 수 있는 경우 "website.com/search?term=gift"와 같은 URL이 있고 페이지에 "gift"라는 단어가 포함될 수 있습니다. 누군가가 URL에 JavaScript를 넣으면 문제가 시작됩니다. 제대로 정리되지 않으면 이 JavaScript가 정상적으로 화면에 인쇄되지 않고 실행될 수 있습니다. 공격자가 이러한 종류의 XSS 페이로드가 있는 링크를 클릭하도록 사용자를 속일 수 있는 경우 세션을 인수하는 등의 작업을 수행할 수 있습니다.

X-XSS-Protection은 이러한 유형의 공격을 감지하고 방지하기 위한 것입니다. 불행히도 시간이 지남에 따라 시스템이 작동하는 방식에서 많은 우회와 취약점이 발견되었습니다. 이러한 취약점은 X-XSS-Protection 헤더를 구현하면 보안이 유지되는 웹사이트에 사이트 간 스크립팅 취약점이 발생할 수 있음을 의미합니다.

이를 방지하기 위해 일반적으로 "CSP"로 단축되는 콘텐츠 보안 정책 헤더에 대체 기능이 포함되어 있다는 점을 이해하고 브라우저 개발자는 해당 기능을 사용 중지하기로 결정했습니다. Chrome, Opera 및 Edge를 포함한 대부분의 브라우저는 지원을 제거했거나 Firefox의 경우 구현하지 않았습니다. 기능이 활성화된 레거시 브라우저를 계속 사용하는 사용자를 보호하기 위해 웹사이트에서 헤더를 비활성화하는 것이 좋습니다.

X-XSS-Protection은 CSP 헤더의 "unsafe-inline" 설정으로 대체할 수 있습니다. 이 설정을 활성화하려면 웹사이트에 따라 많은 작업이 필요할 수 있습니다. 즉, 모든 JavaScript는 외부 스크립트에 있어야 하고 HTML에 직접 포함될 수 없기 때문입니다.