210 votes

midc111 avatar

Qu'est-ce que le http en-tête "X-XSS-Protection"?

Demandé el 1 de Février, 2012
Quand la question a-t-elle été
39843 affichage
Nombre de visites la question a
2 Réponses
Nombre de réponses aux questions
Ouvert
Situation réelle de la question

Donc j'ai pensé autour de avec HTTP pour le plaisir dans telnet maintenant (c'est à dire, juste en tapant dans "telnet google.com 80" et la mise en aléatoire Obtient et les Poteaux avec les différents en-têtes), mais j'ai trouver quelque chose qui google.com transmet dans les en-têtes que je ne connais pas.

J'ai été à la recherche par le biais de http://www.w3.org/Protocols/rfc2616/rfc2616.html et n'ai trouvé aucune définition de ce particulier http en-tête que google semble être jaillissant:

GET / HTTP/1.1

HTTP/1.1 200 OK
Date: Wed, 01 Feb 2012 03:42:24 GMT
Expires: -1
Cache-Control: private, max-age=0
Content-Type: text/html; charset=ISO-8859-1
Set-Cookie: PREF=ID=6ddbc0a0342e7e63:FF=0:TM=1328067744:LM=1328067744:S=4d4farvCGl5Ww0C3; expires=Fri, 31-Jan-2014 03:42:24 GMT; path=/; domain=.google.com
Set-Cookie: NID=56=PgRwCKa8EltKnHS5clbFuhwyWsd3cPXiV1-iXzgyKsiy5RKXEKbg89gWWpjzYZjLPWTKrCWhOUhdInOlYU56LOb2W7XpC7uBnKAjMbxQSBw1UIprzw2BFK5dnaY7PRji; expires=Thu, 02-Aug-2012 03:42:24 GMT; path=/; domain=.google.com; HttpOnly
P3P: CP="This is not a P3P policy! See http://www.google.com/support/accounts/bin/answer.py?hl=en&answer=151657 for more info."
Server: gws
X-XSS-Protection: 1; mode=block
X-Frame-Options: SAMEORIGIN
Transfer-Encoding: chunked

1000

Quelqu'un sait ce que "X-XSS-Protection"?

Demandé el 1 de Février, 2012 par midc111

Réponses

Trop de publicités?

111voto

Luca Invernizzi avatar
Luca Invernizzi Points 1890

X-XSS-Protection est un en-tête HTTP compris par Internet Explorer 8 (et versions plus récentes). Cet en-tête permet de domaines d'activer et de désactiver le "Filtre XSS" de IE8, ce qui empêche certaines catégories d'attaques XSS. IE8 a le filtre activé par défaut, mais les serveurs peut basculer si elle est désactivée par la mise en

   X-XSS-Protection: 0

Voir aussi http://blogs.msdn.com/b/ieinternals/archive/2011/01/31/controlling-the-internet-explorer-xss-filter-with-the-x-xss-protection-http-header.aspx

Répondu el 29 de Avril, 2012 par Luca Invernizzi (1890 Points )

67voto

Fab Sa avatar
Fab Sa Points 1155

  • X-XSS-Protection: 1 : La Force de la protection XSS (utile si la protection XSS a été désactivé par l'utilisateur)

  • X-XSS-Protection: 0 : Désactiver la protection XSS

  • Le jeton mode=block va empêcher le navigateur (IE8+ et les navigateurs Webkit) pour le rendu des pages (au lieu de désinfection) si un potentiel XSS réflexion (= non-persistant) attaque est détectée.

/!\ Avertissement, mode=block crée une vulnérabilité dans IE8 (plus d'infos).

Plus d'informations : http://blogs.msdn.com/b/ie/archive/2008/07/02/ie8-security-part-iv-the-xss-filter.aspx et http://blog.veracode.com/2014/03/guidelines-for-setting-security-headers/

Répondu el 28 de Juillet, 2014 par Fab Sa (1155 Points )

Questions en vedette

Top Tags

Dans notre réseau

Prograide.com

Prograide est une communauté de développeurs qui cherche à élargir la connaissance de la programmation au-delà de l'anglais.
Pour cela nous avons les plus grands doutes résolus en français et vous pouvez aussi poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X