Ster inactiefSter inactiefSter inactiefSter inactiefSter inactief
 

X-XSS

HTTP Headers X-XSS-Frame-Options

Binnenland: Tech; Headers X-XSS-Protectiom:  Het XSS-filter werd geïntroduceerd in Internet Explorer 8 door Microsoft als een tegenaanval op 'non-persistent XSS aanvallen'. Je kunt ervoor kiezen om deze Header mee te geven vanaf je applicatie om je gebruikers minder vatbaar te maken voor X-XSS-Protection, mocht je site ooit misbruikt worden hiervoor. Ik zou alleen niet al te veel vertrouwen op deze beveiligingstechniek, maar gewoon je input goed filteren. HTTP Headers zijn essentieel voor uw SSL beveiliging optimaal te laten werken, voor uw klanten en bezoekers.

 Voorbeeld X-XSS-Protection

X-XSS-bescherming: 1
X-XSS-bescherming: 1; mode=block
X-XSS-bescherming: 1; rapport=<rapportage-uri>

Richtlijnen voor de X-XSS-Frame-Options

0

Schakelt XSS-filtering uit.

1

Schakelt XSS-filtering in (meestal standaard in browsers). Als een cross-site scripting-aanval wordt gedetecteerd, zal de browser de pagina opschonen (verwijder de onveilige onderdelen).

1; mode=block

Schakelt XSS-filtering in. In plaats van de pagina te ontsmetten, zal de browser voorkomen dat de pagina wordt geredderd als er een aanval wordt gedetecteerd.

1; report=<reporting-URI>

(alleen Chromium)

Schakelt XSS-filtering in. Als een cross-site scripting-aanval wordt gedetecteerd, zal de browser de pagina opschonen en de overtreding melden. Hiermee wordt de functionaliteit van de CSP-rapport-uri-richtlijn gebruikt om een rapport te verzenden.

Instellingen voor Apache (.htaccess) kan je de header hieronder gebruiken of de onderste

<IfModule mod_headers.c>
Header Alway set X-XSS-Protection "1; mode=block"
</IfModule> 
Je kunt dus het volgende X-XSS-Protection Headers gebruiken
Header Alway set X-XSS-Protection "1; mode=block"

 Verdere uitleg XSS-Protection

Cross site scripting (XSS) is een veel gebruikte aanvalsvorm om websites mee te hacken. Met XSS injecteert een aanvaller kwaadaardige code in een website die bezoekers van deze website kan besmetten. De Header hierboven, is het niet alleen maar Selecteren > kopiëren > Plakken in de .htaccess bestand, je behoord wel te weten wat deze code doet op jouw website. En iedere website is verschillend of server instelling kan een andere werking geven in het geheel.

Een slecht beveiligd formulier kan kwetsbaar zijn voor cross site scripting. Een aanvaller zal proberen om script code in een formulier te plaatsen en vervolgens op "verzenden" drukken. Een goed formulier zal deze script Header herkennen en zo aanpassen dat de code onschadelijk wordt of zal de code helemaal weigeren. Een slecht formulier zal de code accepteren, waarmee de code op de website geplaatst wordt.

Met de bovenstaande Header geldt voor alle browsers dat wanneer een XSS aanval gedetecteerd wordt, dat deze geblokkeerd moet worden.

<IfModule mod_headers.c> en de einde </IfModule> wordt alleen toegepast, dat wanneer je die nog niet in de .htaccess bestand hebt staan. Heb men wel dat erin staan, dan is het niet nodig omdat er nogmaals aan toe te voegen. Je kunt alle Headers in 1 plaatsen.

A- A A+
Ga naar boven