¿Cuál es el beneficio del encabezado X-XSS-Protection: 0 en un entorno de producción?

7

X-XSS-Protection es un encabezado no estándar pero ampliamente utilizado que instruye a los navegadores para habilitar o deshabilitar su protección integrada contra los ataques XSS reflejados.

La mayoría de los sitios web que visito envían X-XSS-Protection:1; mode=block o no tienen encabezado, lo que, en mi opinión, recae en el valor predeterminado del navegador. Por otro lado, Facebook envía X-XSS-Protection: 0 , algo que solo he visto en sitios web que demuestran el ataque XSS.

¿Cuál podría ser la razón de esto?

    
pregunta Jacopo Notarstefano 03.11.2015 - 21:18
fuente

1 respuesta

6

Hace algunos años, en 2009, Internet Explorer tenía una implementación temprana del auditor XSS con muchos errores. / a>, y se encontró que los sitios web perfectamente seguros podrían hacerse vulnerables, irónicamente, por esa mitigación. También se han publicado algunos artículos de seguridad que muestran cómo el Auditor XSS de IE8 y Chrome podría ser utilizado como un vector de ataque para implementar ataques XSS.

Más recientemente, en 2014, los auditores de XSS siguen siendo muy omitible .

Facebook no confiaba en las implementaciones de los auditores XSS en los navegadores desde el principio, y utilizó X-XSS-Protection: 0 desde 2009. Esto también muestra cierta confianza en su sistema de plantillas ( XHP ), que debe ser lo suficientemente estricto como para evitar la introducción de vulnerabilidades XSS de forma predeterminada.

    
respondido por el Michele Spagnuolo 04.11.2015 - 01:03
fuente

Lea otras preguntas en las etiquetas