¿Qué hace la protección X-XSS? – Tu Web Tecno

X-XSS-Protection era un encabezado de seguridad que existe desde la versión 4 de Google Chrome. Fue diseñado para proporcionar una herramienta que verificaría el contenido del sitio web en busca de secuencias de comandos entre sitios reflejadas. Todos los principales navegadores han dejado de admitir el encabezado, ya que esto provocó agujeros de seguridad. Se recomienda encarecidamente no establecer el encabezado en absoluto y, en su lugar, configurar una política de seguridad de contenido estricta.

Sugerencia: Cross-Site Scripting generalmente se abrevia con el acrónimo «XSS».

El scripting reflejado entre sitios es una clase de vulnerabilidades XSS en las que el exploit se codifica directamente en la URL y solo afecta al usuario que visita la URL. XSS reflejado es un riesgo cuando la página web muestra datos de la URL. Por ejemplo, si puede buscar productos en una tienda web, es posible que tenga una URL similar a esta: sitio web.com/search?term=gift y que incluya la palabra «regalo» en la página. El problema comienza cuando alguien inserta JavaScript en la URL. Si no se limpia correctamente, este JavaScript se puede ejecutar en lugar de imprimirse en la pantalla como se desee. Por ejemplo, si un atacante pudiera convencer a un usuario de que haga clic en un enlace que contenga este tipo de carga útil XSS, posiblemente podría hacerse cargo de la sesión.

X-XSS-Protection debería detectar y prevenir este tipo de ataque. Desafortunadamente, con el tiempo, se han identificado una serie de soluciones alternativas e incluso vulnerabilidades en la forma en que funciona el sistema. Estas vulnerabilidades dieron como resultado la implementación del encabezado X-XSS-Protection que introdujo una vulnerabilidad de secuencias de comandos entre sitios en un sitio web seguro.

Para protegerse de esto, los desarrolladores de navegadores han decidido descontinuar la función, ya que el encabezado de la Política de seguridad de contenido, comúnmente abreviado como «CSP», contiene funciones de reemplazo. La mayoría de los navegadores, incluidos Chrome, Opera y Edge, han eliminado el soporte o, en el caso de Firefox, nunca lo implementaron. Se recomienda que los sitios web deshabiliten el encabezado para proteger a los usuarios que todavía usan navegadores más antiguos con la función habilitada.

La protección X-XSS se puede reemplazar por el ajuste «Inseguro en línea» en el encabezado del CSP. Habilitar esta configuración puede suponer mucho trabajo, según el sitio web, ya que todo el JavaScript debe residir en scripts externos y no se puede incluir directamente en el código HTML.

Deja un comentario