Encabezado de protección XSS para Firefox

1

He habilitado la protección XSS en el servidor usando nginx con el encabezado siguiente. Pero después de una larga búsqueda en Google Chrome, IE 10 & arriba y safari admite eso, pero Firefox no es compatible

  

add_header X-XSS-Protection: "1; mode = block";

Por ejemplo: cuando intento debajo de la url en IE, chrome y safari bloquea

  

https://xyz.com/test"><img src%3Dx onerror%3Dalert("xss")></

Pero Firefox ejecuta alerta. Por favor, ayúdame a arreglar para Mozilla FF.

    
pregunta satheesh 24.02.2017 - 20:10
fuente

1 respuesta

2

Firefox no admite el encabezado X-XSS-Protection como se puede ver en esta tabla de compatibilidad .

Si desea una protección similar contra XSS reflejado como usuario de Firefox, puede usar el complemento de NoScript . Tiene una característica anti-XSS que puede advertirle de manera similar si identifica el código del script en la URL.

Solo debe ver el encabezado como una última línea de defensa que no reemplaza el escape de salida adecuado y el habitual medidas anti-XSS . Muchos sitios web como Facebook no habilitan el encabezado porque en ocasiones puede causar problemas de seguridad En sí.

En el lado del servidor también puede implementar un firewall de aplicaciones web que puede intentar bloquear los intentos de XSS. Pero su primera medida de seguridad debe ser una aplicación segura que filtre correctamente la salida en sí misma.

    
respondido por el Arminius 24.02.2017 - 20:16
fuente

Lea otras preguntas en las etiquetas