Задать вопрос
PageAuditRU
@PageAuditRU
Senior SEO Анализатор
информационная-безопасность

Почему Facebook отключил защиту от XSS-атак?

Добрый!

Обратил внимание, что Facebook в HTTP-заголовке ответа указывает x-xss-protection: 0, что формально должно отключать встроенную в браузер пользователя защиту от XSS-атак.
При этом в заголовке content-security-policy для script-src разрешены "небезопасные" 'unsafe-inline' 'unsafe-eval'.
И, опять же, сам FB следит, чтобы его не пытались "ломать":
60e40f9a72cd7064211275.png

В чём логика FB или как он на самом деле защищается от XSS?
  • Вопрос задан
  • 953 просмотра
Комментировать
Подписаться 8 Средний Комментировать
Решения вопроса 1
PageAuditRU
@PageAuditRU Автор вопроса
Senior SEO Анализатор
Итак, спасибо Евгению Глебову за комментарии. Теперь всё стало понятно.

Защита с помощью заголовка (и соответствующей технологии) X-XSS-Protection скомпрометирована и создаёт ложное ощущение защищённости. В любом из режимов 0 или 1; mode=block реализуемы XS-атаки.

Разработчикам рекомендовано:
- явно отключить защиту, установив директиву 0,
- перейти к использованию защиты, используя заголовок Content-Security-Policy,
- самостоятельно обеспечить защиту сайта от XSS-атак.
Ответ написан
Комментировать
Комментировать
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы
Вакансии с Хабр Карьеры
Специалист по управлению уязвимостями (информационная безопасность)
Гринатом Москва
от 100 000 до 120 000 ₽
Специалист по информационной безопасности
Данафлекс Казань
от 90 000 ₽
Руководитель направления информационной безопасности ОКИИ
Интер РАО – Управление сервисами Санкт-Петербург
от 180 000 ₽
Ещё вакансии
Заказы с Хабр Фриланса
Взлом автомобильной программы
19 апр. 2024, в 05:01
999999 руб./за проект
Доработать телеграм бота
19 апр. 2024, в 03:52
1000 руб./за проект
Написать код на python
19 апр. 2024, в 03:01
1000 руб./за проект
Ещё заказы