Tiêu đề bảo mật Sự cố X-XSS-Protection

samtech

18:18, 29/08/2023

Có bất kỳ vấn đề nào đến từ việc thêm 'An ninh-Giao thông nghiêm ngặt' và 'Bảo vệ X-XSS' tiêu đề?

Tiêu đề được đặt Nghiêm ngặt-Giao thông-An ninh "max-age=10886400;
Bộ tiêu đề X-XSS-Protection "1; mode=block"

Tôi đã không đặt 'bao gồm các miền phụ' cho tiêu đề HSTS vì tôi không chắc liệu chúng tôi có luôn muốn những miền đó qua HTTPS hay không. Cụ thể, tôi có thể thấy điều này gây ra sự cố với các trang HubSpot và/hoặc CDN (làm chậm quá trình phân phối CDN chứ không phải các vấn đề về độ phân giải).

các trình duyệt hiện đại thậm chí có thể không triển khai tính năng lọc XSS phải không?

nếu tôi không sai Các trình duyệt hiện đại thích điều này hơn phải không? https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Security-Policy

WAF của chúng tôi cũng sẽ chặn các lần tiêm XSS để tiêu đề không thực sự có hiệu lực.

Là chính sách CSP thực hiện sẽ giúp? lời khuyên tốt nhất ở đây là gì?

0 + 0

linux

php

chia sẻ màn hình

hsts

Phan Văn Trường

Câu hỏi này là trong các ngôn ngữ khác:

EN: Security Headers X-XSS-Protection issue

TH: ปัญหาด้านความปลอดภัยส่วนหัว X-XSS-Protection

RO: Antet de securitate X-XSS-Problemă de protecție

RU: Заголовки безопасности Проблема с X-XSS-защитой

VI: Tiêu đề bảo mật Sự cố X-XSS-Protection

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.