X-XSS Koruması

XSS Nedir?

Cross-Site Scripting (Siteler arası betik çalıştırma) web sitelerinde bir güvenlik sorunudur. XSS, web sayfalarında görünen ara yüz zararlı kodların enjekte edilmesiyle oluşur. Bu zararlı scriptlerin web sitenin enjekte edilmesiyle özel kullanıcı bilgileri elde edilebilir. Oturum ele geçirme saldırı düzenlenebilir. Dolandırıcılık yapılabilir. Sitelerin çoğunda XSS zafiyetleri bulunmaktadır.

X-XXS-Protection Nedir?

X-XSS-Protection, Reflected XSS saldırılarına karşı bir güvenlik sistemidir. X-XSS-Protection Chrome, Safari ve Internet Explorer’ın XSS zafiyetinde bulunan zararlı scriptleri algıladıklarında sayfalarının yüklenmesini durduran bir özelliktir. X-XSS-Protection güvenlik sağlamak için yapılandırılması gerekmektedir.

→ Sitenizin güvenliğini ve X-XSS açığını kontrol etmek için aşağıdaki sitelerden yararlanabilirsiniz.

· Securityheaders.io

· Chrome Geliştirme Araçları

· Mozilla Gözlemevi

X-XSS Koruması: 0

XSS filtrelemeyi devre dışı.

X-XSS Koruması: 1

XSS filtrelemesini etkinleştirir. XSS saldırısı anında sonuç elde eden güvenilir olmayan kısımlarını kaldırır.

X-XSS Koruması: 1; mode = blok

XSS filtrelenmesini etkinleştirir. Sayfanın güvenilir hale getirilmesi için bir inceleme incelemesi engelleyerek güvenlik sorununu çalışır.

X-XSS-Protection: 1; report=<reporting-uri>

XXS filtrelenmesini etkinleştirir. Saldırı yürütmek durdurulmasını ve bir ihlal raporu ulaştırır.

Örneğin

Yansıyan XSS saldırılarını tespit edildiğinde sayfaları yükleme engelleme:

X-XSS-Protection: 1; mode=block

Apache (.htaccess)

<IfModule mod_headers.c>
Header set X-XSS-Protection "1; mode=block"
</IfModule>

PHP

header("X-XSS-Protection: 1; mode=block");

Örnek olarak bir siteyi Mozilla Gözlemevi kullanarak arattığımda X-XSS kısmından aşağıda korunmaya alınmıştır. X-XSS-Koruma kısmı aktifleştirilerek korumaya alınmıştır.