Home » » X-XSS-Protection làm gì?

X-XSS-Protection làm gì?

X-XSS-Protection là một tiêu đề bảo mật đã có từ phiên bản 4 của Google Chrome. Nó được thiết kế để cho phép một công cụ kiểm tra nội dung của trang web để tìm tập lệnh trên nhiều trang web được phản ánh. Tất cả các trình duyệt chính hiện đã ngừng hỗ trợ tiêu đề vì nó đã kết thúc với các lỗi bảo mật. Bạn hoàn toàn không nên đặt tiêu đề và thay vào đó hãy định cấu hình Chính sách bảo mật nội dung mạnh mẽ.

Mẹo: Cross-Site Scripting thường được rút ngắn thành từ viết tắt “XSS”.

Tập lệnh trên nhiều trang web được phản ánh là một lớp lỗ hổng XSS trong đó việc khai thác được mã hóa trực tiếp trong URL và chỉ ảnh hưởng đến người dùng truy cập URL. XSS được phản ánh là một rủi ro khi trang web hiển thị dữ liệu từ URL. Ví dụ: nếu một cửa hàng trực tuyến cho phép bạn tìm kiếm sản phẩm, cửa hàng đó có thể có một URL giống như sau “website.com/search?term=gift” và bao gồm từ “quà tặng” trên trang. Vấn đề bắt đầu xảy ra nếu ai đó đặt JavaScript trong URL, nếu nó không được làm sạch đúng cách, JavaScript này có thể được thực thi thay vì được in ra màn hình như bình thường. Nếu kẻ tấn công có thể lừa người dùng nhấp vào liên kết với loại tải trọng XSS này, chúng có thể thực hiện những việc như tiếp quản phiên của họ.

X-XSS-Protection nhằm phát hiện và ngăn chặn kiểu tấn công này. Thật không may, theo thời gian, một số bỏ qua và thậm chí cả lỗ hổng đã được tìm thấy trong cách hệ thống hoạt động. Các lỗ hổng này có nghĩa là việc triển khai tiêu đề X-XSS-Protection sẽ tạo ra lỗ hổng tập lệnh trên nhiều trang web trong một trang web an toàn khác.

Để bảo vệ khỏi điều này, với sự hiểu biết rằng tiêu đề Chính sách bảo mật nội dung, thường được rút ngắn thành “CSP”, bao gồm chức năng thay thế nó, các nhà phát triển trình duyệt đã quyết định gỡ bỏ tính năng này. Hầu hết các trình duyệt, bao gồm Chrome, Opera và Edge đã xóa hỗ trợ hoặc trong trường hợp của Firefox, không bao giờ triển khai nó. Chúng tôi khuyên các trang web nên tắt tiêu đề để bảo vệ những người dùng vẫn sử dụng các trình duyệt cũ với tính năng được bật.

X-XSS-Protection có thể được thay thế bằng cài đặt "nội tuyến không an toàn" trong tiêu đề CSP. Để có thể bật cài đặt này có thể mất rất nhiều công việc tùy thuộc vào trang web, vì điều đó có nghĩa là tất cả JavaScript phải ở trong các tập lệnh bên ngoài và không thể được đưa trực tiếp vào HTML.


Leave a Comment

Cách thay đổi tài khoản email của bạn trên LinkedIn

Cách thay đổi tài khoản email của bạn trên LinkedIn

Hướng dẫn chi tiết về cách thay đổi địa chỉ email liên kết với tài khoản LinkedIn của bạn, giúp bạn duy trì liên lạc hiệu quả hơn.

Tại sao Avast VPN không hoạt động?

Tại sao Avast VPN không hoạt động?

Khám phá những lý do phổ biến khiến Avast VPN không hoạt động và cách khắc phục hiệu quả để bạn có thể duy trì kết nối Internet

Cách sửa lỗi tìm nạp dữ liệu trên Facebook

Cách sửa lỗi tìm nạp dữ liệu trên Facebook

Nhiều người gặp lỗi "Tìm nạp dữ liệu trên Facebook". Bài viết này sẽ hướng dẫn bạn 7 cách khắc phục hiệu quả và tối ưu nhất.

Bạn có thể vẽ bán kính trên Google Maps không?

Bạn có thể vẽ bán kính trên Google Maps không?

Mặc dù Google Maps không hỗ trợ chức năng bán kính, nhưng bạn có thể sử dụng dịch vụ bản đồ trực tuyến như CalcMaps và Maps.ie để vẽ bán kính xung quanh một vị trí.

Sửa lỗi Facebook khi thực hiện truy vấn

Sửa lỗi Facebook khi thực hiện truy vấn

Hướng dẫn cách khắc phục lỗi "Lỗi thực hiện truy vấn" trên Facebook. Đăng xuất, xóa bộ nhớ cache và khởi động lại thiết bị là các giải pháp hiệu quả.

Cách kiểm tra độ mạnh của mật khẩu và 5 bí quyết tạo mật khẩu an toàn

Cách kiểm tra độ mạnh của mật khẩu và 5 bí quyết tạo mật khẩu an toàn

Hướng dẫn chi tiết cách kiểm tra độ mạnh của mật khẩu, các loại tấn công phổ biến, và 5 bí quyết tạo mật khẩu an toàn, dễ nhớ. Tối ưu hóa bảo mật tài khoản của bạn ngay hôm nay!

Hướng dẫn nhanh về cách tạo lời nhắc trên Google Home

Hướng dẫn nhanh về cách tạo lời nhắc trên Google Home

Lời nhắc luôn là điểm nổi bật chính của Google Home. Họ chắc chắn làm cho cuộc sống của chúng tôi dễ dàng hơn. Hãy cùng tìm hiểu nhanh về cách tạo lời nhắc trên Google Home để bạn không bao giờ bỏ lỡ việc làm việc vặt quan trọng.

Cách sao chép nội dung từ sách giáo khoa bằng Google Lens

Cách sao chép nội dung từ sách giáo khoa bằng Google Lens

Việc nhập câu trích dẫn yêu thích từ cuốn sách của bạn lên Facebook rất tốn thời gian và có nhiều lỗi. Tìm hiểu cách sử dụng Google Lens để sao chép văn bản từ sách sang thiết bị của bạn.

Sửa lỗi không tìm thấy địa chỉ DNS máy chủ trong Chrome

Sửa lỗi không tìm thấy địa chỉ DNS máy chủ trong Chrome

Đôi khi, khi đang làm việc trên Chrome, bạn không thể truy cập một số trang web nhất định và gặp lỗi “Fix Server DNS address could not be seek in Chrome”. Đây là cách bạn có thể giải quyết vấn đề.

Cách vô hiệu hóa Lời nhắc khôi phục trang trong Microsoft Edge

Cách vô hiệu hóa Lời nhắc khôi phục trang trong Microsoft Edge

Nếu bạn muốn loại bỏ thông báo Khôi phục trang trên Microsoft Edge, chỉ cần đóng trình duyệt hoặc nhấn phím Escape.