Задать вопрос
PageAuditRU
@PageAuditRU
Senior SEO Анализатор
информационная-безопасность

Почему Facebook отключил защиту от XSS-атак?

Добрый!

Обратил внимание, что Facebook в HTTP-заголовке ответа указывает x-xss-protection: 0, что формально должно отключать встроенную в браузер пользователя защиту от XSS-атак.
При этом в заголовке content-security-policy для script-src разрешены "небезопасные" 'unsafe-inline' 'unsafe-eval'.
И, опять же, сам FB следит, чтобы его не пытались "ломать":
60e40f9a72cd7064211275.png

В чём логика FB или как он на самом деле защищается от XSS?
  • Вопрос задан
  • 957 просмотров
Комментировать
Подписаться 8 Средний Комментировать
Решения вопроса 1
PageAuditRU
@PageAuditRU Автор вопроса
Senior SEO Анализатор
Итак, спасибо Евгению Глебову за комментарии. Теперь всё стало понятно.

Защита с помощью заголовка (и соответствующей технологии) X-XSS-Protection скомпрометирована и создаёт ложное ощущение защищённости. В любом из режимов 0 или 1; mode=block реализуемы XS-атаки.

Разработчикам рекомендовано:
- явно отключить защиту, установив директиву 0,
- перейти к использованию защиты, используя заголовок Content-Security-Policy,
- самостоятельно обеспечить защиту сайта от XSS-атак.
Ответ написан
Комментировать
Комментировать
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы
Вакансии с Хабр Карьеры
Специалист по управлению уязвимостями (информационная безопасность)
Гринатом Москва
от 100 000 до 120 000 ₽
Руководитель направления информационной безопасности ОКИИ
Интер РАО – Управление сервисами Санкт-Петербург
от 180 000 ₽
Старший специалист по информационной безопасности (аттестация ОИ)
Гринатом Москва
До 120 000 ₽
Ещё вакансии
Заказы с Хабр Фриланса
Разработать приложение для создания и управления виртуальными турами
22 дек. 2024, в 11:58
1000 руб./за проект
Игра С# MVC console + wpf
22 дек. 2024, в 10:44
15000 руб./за проект
Извлечь данные из архива
22 дек. 2024, в 10:12
10000 руб./за проект
Ещё заказы