X-XSS-Protection was een beveiligingsheader die al bestaat sinds versie 4 van Google Chrome. Het is ontworpen om een tool in te schakelen die de inhoud van de website controleerde op gereflecteerde cross-site scripting. Alle grote browsers hebben nu de ondersteuning voor de header stopgezet omdat deze beveiligingsfouten introduceerde. Het wordt ten zeerste aanbevolen om de header helemaal niet in te stellen en in plaats daarvan een sterk beleid voor inhoudsbeveiliging te configureren.
Tip: Cross-Site Scripting wordt over het algemeen afgekort tot het acroniem “XSS”.
Weerspiegelde cross-site scripting is een klasse van XSS-kwetsbaarheid waarbij de exploit rechtstreeks in de URL is gecodeerd en alleen de gebruiker treft die de URL bezoekt. Reflected XSS is een risico wanneer de webpagina gegevens van de URL weergeeft. Als een webwinkel u bijvoorbeeld toestaat om naar producten te zoeken, heeft deze mogelijk een URL die er zo uitziet als "website.com/search?term=gift" en bevat het woord "gift" op de pagina. Het probleem begint als iemand JavaScript in de URL plaatst, als het niet goed is opgeschoond, kan dit JavaScript worden uitgevoerd in plaats van op het scherm te worden afgedrukt zoals het zou moeten. Als een aanvaller een gebruiker zou kunnen misleiden om op een link te klikken met dit soort XSS-payload, kunnen ze mogelijk dingen doen zoals hun sessie overnemen.
X-XSS-Protection was bedoeld om dit soort aanvallen te detecteren en te voorkomen. Helaas zijn er in de loop van de tijd een aantal omleidingen en zelfs kwetsbaarheden gevonden in de manier waarop het systeem werkte. Deze kwetsbaarheden betekenden dat het implementeren van de X-XSS-Protection-header een kwetsbaarheid voor cross-site scripting zou introduceren op een anders veilige website.
Om zich hiertegen te beschermen, met dien verstande dat de koptekst van het inhoudsbeveiligingsbeleid, doorgaans afgekort tot "CSP", functionaliteit bevat om deze te vervangen, hebben browserontwikkelaars besloten de functie buiten gebruik te stellen. De meeste browsers, waaronder Chrome, Opera en Edge, hebben de ondersteuning verwijderd of, in het geval van Firefox, nooit geïmplementeerd. Het wordt aanbevolen dat websites de koptekst uitschakelen om die gebruikers te beschermen die nog steeds oudere browsers gebruiken terwijl de functie is ingeschakeld.
X-XSS-Protection kan worden vervangen door de instelling "unsafe-inline" in de CSP-header. Het inschakelen van deze instelling kan veel werk vergen, afhankelijk van de website, omdat dit betekent dat alle JavaScript in externe scripts moet staan en niet rechtstreeks in de HTML kan worden opgenomen.
Als uw browser terugknop niet werkt, biedt deze gids drie effectieve oplossingen om het probleem op te lossen. Leer hoe u de terugknop weer kunt laten functioneren in alle populaire browsers.
Hoewel Google Maps de straalfunctionaliteit niet ondersteunt, kunt u een alternatieve online kaartservice gebruiken om een straal rond een locatie te tekenen.
Leer hoe u Google Authenticator snel en eenvoudig overzet naar een nieuwe telefoon, inclusief bonusinformatie over Authy, LastPass en Microsoft Authenticator.
Leer hoe u trending zoekopdrachten op Google kunt verwijderen en optimaliseer uw zoekervaring met deze handige tips.
Als uw map met Microsoft Edge-favorieten nergens te zien is, probeer deze dan te importeren uit Microsoft Edge Legacy of gebruik Windows Bestandsherstel.
Chrome toont standaard niet de volledige URL. Dit detail interesseert u misschien niet zoveel, maar als u om wat voor reden dan ook de volledige URL wilt weergeven, vindt u gedetailleerde instructies over hoe u Google Chrome de volledige URL in de adresbalk kunt laten weergeven.
Reddit veranderde hun ontwerp opnieuw in januari 2024. Het herontwerp is zichtbaar voor desktopbrowsergebruikers en vernauwt de hoofdfeed en biedt links
Het typen van je favoriete citaat uit je boek op Facebook kost tijd en zit vol met fouten. Ontdek hoe u Google Lens gebruikt om tekst uit boeken naar uw apparaten te kopiëren.
Soms, wanneer u in Chrome werkt, heeft u geen toegang tot bepaalde websites en krijgt u de foutmelding 'Fix Server DNS-adres kan niet worden gevonden in Chrome'. Hier ziet u hoe u het probleem kunt oplossen.
Herinneringen zijn altijd het belangrijkste hoogtepunt van Google Home geweest. Ze maken ons leven zeker gemakkelijker. Laten we een korte rondleiding geven over hoe u herinneringen kunt maken op Google Home, zodat u nooit belangrijke boodschappen hoeft te doen.
